Über 30 Jahre SPECTRUM-Historie

2013

„Whistleblower“ – wir lernen ein neues Wort – die elektronische Rechnung wird Realität

Wie? Was? Whistleblower?

Das Jahr 2013 ist primär dadurch gekennzeichnet, dass ein Edward Joseph Snowden als ehemaliger technischer Mitarbeiter der US-Geheimdienste CIA und NSA durch Enthüllungen Einblicke in das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken von US-Geheimdiensten gab und so eine riesige Affäre über US- und UK-Spionagetätigkeiten auslöste. Im Rahmen seiner Tätigkeit hatte Snowden Zugang zu Informationen, die als streng geheim eingestuft waren, unter anderem über US-amerikanische Programme zur Überwachung der weltweiten Internetkommunikation (PRISM, XKeyscore und Boundless-Informant) sowie das noch umfassendere britische Überwachungsprogramm TEMPORA des englischen Geheimdiensts Government Communications Headquarters (GCHQ). Offensichtlich greift aber auch der deutsche BND in großem Stil Daten deutscher Netznutzer ab, die dann unter anderem bei der NSA landen, wie das c’t-Magazin berichtet.

Laut einer aktuellen Meinungsumfrage in den USA ist Snowden für 55 Prozent der US-Bürger als „Whistleblower“ („Skandalaufdecker“) ein Held mit einem legitimen Anliegen – nur 34 Prozent der US-Bürger halten ihn für einen Landesverräter, der bestraft werden muss. Wir regen uns derzeit alle über die Amerikaner und Briten auf – was machen denn eigentlich die Russen und Chinesen?

Seit den ersten Enthüllungen von Edward Snowden über die umfangreichen Abhörprogramme von Amerikanern und Briten stellt sich die Frage nach der schwierigen Balance zwischen dem Bedürfnis nach Sicherheit und dem Anrecht auf Privatsphäre. Die Antworten, die bisher darauf gegeben wurden, sind von Land zu Land sehr unterschiedlich. Die Sorge, dass der nach den Anschlägen vom 11. September 2001 massiv aufgerüstete US-Überwachungsapparat außer Kontrolle geraten sein könnte, gibt es selbst in den USA. Wir haben alle akzeptiert, dass in unserer heutigen Gesellschaft der Staat das Gewaltmonopol hat – damit meinen wir den Rechtsstaat und unseren eigenen Staat, nicht die USA und nicht die Engländer. Wenn der Staat das Gewaltmonopol hat, dann hat er einerseits das Durchsuchungs- und Spionagemonopol. Der Staat hat dafür andererseits auch die Pflicht, seine Bürger zu schützen. Hierzu gehört auch das vom Bundesverfassungsgericht verbriefte Grundrecht, nämlich das sogenannte Recht auf informationelle Selbstbestimmung.

Was es 2013 sonst Wichtiges gab:

  • Papst Benedikt XVI. verzichtet als erster Papst seit über 700 Jahren auf sein Amt.
  • Der Argentinier Mario Bergoglia wird der neue Papst Franziskus.
  • ELStAM – das Verfahren der elektronischen Lohnsteuerabzugsmerkmale – wird eingeführt, das die Lohnsteuerkarte aus Papier durch ein elektronisches Verfahren ersetzt.
  • Der Whistleblower Edward Snowden deckt eine Spionageaffäre auf.
  • Der dauerhafte Europäische Stabilitätsmechanismus (ESM) tritt in Kraft.
  • IBM – einst Erfinder des IBM-PCs – will das noch verbliebene x86-Servergeschäft (mit 5 Milliarden US-Dollar etwa ein Drittel des IBM- Servergeschäfts) an den chinesischen Lenovo-Konzern verkaufen.
  • Überraschender Deal: Microsoft schluckt für 5,4 Milliarden US-Dollar Nokias Handygeschäft.
  • CDU/CSU gewinnen die Bundestagswahl fast mit absoluter Mehrheit – Merkel wird nun wohl Kanzlerin einer großen Koalition.
  • Es wird gemunkelt, dass SAP sein für über 3 Milliarden Euro und mit über 3.000 Entwicklern entwickeltes Cloud-Angebot „Business by Design“ wieder einstellt. Das wäre der größte Flop der SAP-Firmengeschichte.
  • Es wird ein neues 4.500 km langes Glasfaserkabel von der New Yorker zur Londoner Börse verlegt, damit die computergesteuerten Aktienzocker Informationen 5 Millisekunden (5 ms !) schneller bekommen, als mit der Satellitenübertragung und man stellt sich die Frage: Was hat diese Finanzwirtschaft noch mit der realen Welt zu tun? 

Was der Whistleblower Edward Snowden ans Tageslicht befördert hat, zwingt auch jene zum Umdenken, die bislang nach dem Motto lebten: „Wer nichts zu verbergen hat, muss nichts befürchten.“ Das Zauberwort heißt hier aber Big Data – womit große Datenmengen aus verschiedenen Quellen schnell verknüpft und ausgewertet werden können. Durch Big-Data-Systeme wird jeder zum „gläsernen Bürger“ – diese „Durchsichtigkeit“ betrifft dabei nicht nur die Daten, die sich staatliche Spionagestellen wie NSA und BND besorgen: Kommerzielle Big-Data-Analysen von Facebook, Google, Amazon und Co. können den einzelnen Bürger unter Umständen noch mehr tangieren. Anscheinend haben auch deutsche Unternehmen beim Thema „Big Data“ vor lauter Geschäftseuphorie das richtige Datenschutz-Augenmaß verloren. Hier eine Wertung aus einem BITKOM-Papier aus dem Herbst 2012, zu dem der BITKOM-Präsident Prof. Dieter Kempf folgendes Vorwort geschrieben hat:

„Big Data bezeichnet die wirtschaftlich sinnvolle Gewinnung und Nutzung entscheidungsrelevanter Erkenntnisse aus qualitativ vielfältigen und unterschiedlich strukturierten Informationen, die einem schnellen Wandel unterliegen und in bisher ungekanntem Umfang anfallen. Big Data stellt Konzepte, Methoden, Technologien, IT-Architekturen sowie Tools zur Verfügung, um die geradezu exponentiell steigenden Volumina vielfältiger Informationen in besser fundierte und zeitnahe Management-Entscheidungen umzusetzen und so die Innovations- und Wettbewerbsfähigkeit von Unternehmen zu verbessern.“

BITKOM ist das deutsche Sprachrohr der IT-, Telekommunikations- und Neue-Medien-Branchen und vertritt mehr als 2.000 IT-Unternehmen in Deutschland.

Ins Visier des US-Geheimdiensts NSA geraten leider auch immer wieder Unschuldige. Das Big-Data-Programm „XKeyscore“ soll dabei das mächtigste Überwachungstool der Welt sein: Presseberichten zufolge können NSA-Analysten mit XKeyscore in Echtzeit auf immense Datenbanken voller E-Mails, Online-Chats und Browser-Historien zugreifen und diese durchsuchen – die komplette Internetnutzung jedes (von der NSA erfassten) Bürgers kann danach quasi komplett überwacht werden. Die anerkannte „Washington Post“ berichtete auch über Kooperationen einzelner IT-Unternehmen mit der NSA bei der Überwachung und hatte hier Facebook, Google und Co. aufgelistet, aber auch Telecom-Unternehmen wie British Telecom, Interoute, Level 3, Global Crossing, Verizon, Viatel und Vodafone, bei denen Abhörschnittstellen installiert sein sollen. Hintergrund: Das US-amerikanische Unternehmen Level 3 betreibt zum Beispiel das weltweit größte IP-Backbone-Netz, unter anderem nutzt die Deutsche Telekom dieses Netz für die internationale Anbindung – und Level 3 ist daher für Abhörschnittstellen ein besonders begehrter Kandidat. US-Behörden haben dabei diese Unternehmen angeblich zur Zusammenarbeit bedrängt und ansonsten Konsequenzen angedroht. Diese Zusammenarbeit sieht dann so aus, dass diese Firmen angeblich die Daten „freiwillig“ direkt an die US- und britischen Geheimdienste weiterleiten. Level 3 hat aber nun offiziell verlautbart, dass das nicht stimmen würde ... Und wer überprüft das nun, wer hier die Unwahrheit sagt?


In Deutschland stellt man sich erst einmal dumm

In Deutschland zeigen sich Politiker und Medien hingegen völlig überrascht, was die Whistleblower so alles berichten, und tun so, als ob sie von den Spionageattacken der Amis und Engländer bisher nichts gewusst hätten. Bundeskanzlerin Angela Merkel sagt sogar: „Das Internet ist ja Neuland für uns ...“ Schon Altkanzler Adenauer hatte einst Washington und London erlaubt, für Spähangriffe das deutsche Grundgesetz zu brechen. Bereits 1998 berichtete auch eine Studie des Europäischen Parlaments umfassend, offiziell und für jedermann nachlesbar von den skandalösen Abhörpraktiken der NSA in Europa.

Man muss sich auch fragen, ob die Politiker und Journalisten nie die riesigen Antennenanlagen der Amis in Pullach und Bad Aibling oder die der Engländer an der A 46 kurz vor Mönchengladbach gesehen haben? Die europaweit größte Signals-Intelligence-Anlage der USA steht für jedermann sichtbar auf dem Lechfeld bei Gablingen in Bayern, in der Nähe von Augsburg.

Haben deutsche Politiker und Journalisten noch nie etwas von Echelon gehört? Ob Telefonate, E-Mails, Faxe oder Telex: Das Echelon-System hört seit Jahren den gesamten über Satelliten und Kabel geleiteten Kommunikationsverkehr ab. Echelon ist heute sogar vorwiegend auf nichtmilitärische Ziele ausgerichtet: auf Regierungsstellen, Organisationen und vor allem auf die Wirtschaft. Viele deutsche Politiker und Journalisten tun so, als ob sie von der NSA noch nie etwas gehört hätten.

Doch schon 1975 hatte ein US-Kongressausschuss die Rolle der NSA weltweit öffentlich gemacht: Danach waren von der NSA sogar Zehntausende Amerikaner während des Vietnam-Kriegs verdächtigt worden, gegen die nationale Sicherheit verstoßen zu haben, in 75.000 Einzelakten wurden persönliche Daten, markante Verhaltensweisen, politische Kontakte notiert und illegale Observationen von US-Bürgern durchgeführt.

 

Interessant ist, wie viel den USA dieses ganze Spionagebrimborium wert ist: Mehr als 100.000 Mitarbeiter (!) beschäftigen die USA in 16 Geheimdienstbehörden und die Kosten im sogenannten Black Budget der US-Regierung für CIA, NSA und NRO sollen circa 55 Milliarden US-Dollar pro Jahr betragen (also so viel wie 10 Prozent des gesamten US-Militärbudgets für US Army, US Air Force, US Navy, US Marine Corps etc. mit den Atomwaffensilos, den Flugzeugträgern ...).

Erst als sich der französische Präsident François Hollande beim US-Präsidenten Barak Obama über die Abhörmethoden aufregte, fasste auch Bundeskanzlerin Merkel den Mut, sich bei Obama zu beschweren, weil man selbst ihr Handy abgehört hatte – natürlich alles nur zur Terrorismusabwehr …


Steuerdaten dürfen aber in fremden Ländern ausspioniert werden?

Darf man nun der plötzlichen Empörung der deutschen Politiker trauen, die sich jetzt darüber aufregen, dass die USA und Großbritannien sich unter Missachtung von deutschem Recht und Gesetz auf illegalem Weg Daten von deutschen Bürgern beschaffen? Es wurde und wird sich darüber echauffiert, dass die Amis und Engländer weder Rücksicht auf den Datenschutz noch auf die Souveränität anderer Staaten genommen haben. Kurioserweise sind das zum Teil die gleichen Leute, die den Ankauf von Steuer-CDs befürworten (im schwarzen oder gelben oder roten oder grünen Dress – nicht nur NRW-Finanzminister Norbert Walter-Borjans, auch Wolfgang Schäuble hatte ja einmal den CD-Ankauf unterstützt). Waren das nicht auch illegal beschaffte Daten aus dem Nachbarstaat Schweiz?

Schon 2010 hatte das Bundesverfassungsgericht die Nutzung der Daten solcher illegal erworbenen Datenträger bei der Strafverfolgung legitimiert: „So können die von Informanten angekauften Informationen über mutmaßliche Steuerhinterzieher in Ermittlungsverfahren verwendet werden. Es kommt nicht darauf an, ob der Ankauf der Daten ursprünglich einmal strafbar war. Der Datendiebstahl ist der Bundesrepublik Deutschland auch nicht zuzurechnen“, lautet der Urteilstext.

Man darf sicherlich auch die Frage stellen, warum nur die Steuerhinterziehung per Gesetz bestraft wird, Steuerverschwendung hingegen nicht – man denke hier nur an die Bahnhofs-Verbuddelungskosten in Stuttgart, den Kosten-Höhenflug bei der Hamburger Elbphilharmonie, das Milliardengrab des Berliner Großflughafens oder die Sturzflugkosten bei der Bundeswehr-Drohnen-Affäre. Man sollte auch die Frage stellen, warum Politiker nicht bestraft werden, wenn sie Steuerbefreiung für ein gewisses Wählerklientel betreiben – man denke hier nur an die Umsatzsteuerreduzierung für das Hotelgewerbe. Auch die Frage, warum Politiker nicht bestraft werden, die gesetzlich die Steuervermeidung zulassen, sollte gestellt werden – denn wenn man schon mit der Kavallerie in der Schweiz einfallen will, stellt sich die Frage, warum man aber Microsoft Deutschland, Google Deutschland, Apple Deutschland, SAP, Daimler, BMW, Bayer und Co. das Nichtzahlen von Steuern in Deutschland ermöglicht, wenn die ihre Gewinne zum Beispiel über die Niederlande oder über Luxemburg schleusen. Auch die bayrische Unternehmer-Wohlfühlstrategie, weniger Betriebsprüfungen durchzuführen, ist sicherlich hinterfragenswert.

Bei diesen ganzen Hochverrats- und Spionageaffären übersieht man sehr häufig die simple Frage: Wie kann der Chef einer normalen Steuerberatungskanzlei oder der Geschäftsführer eines normalen IT-Systemhauses noch sicherstellen, dass der Datenschutz der Mandanten und Kunden weiterhin gewahrt wird? Wie verhindert man, dass der Steuerfachangestellte oder IT-Techniker nicht auch zum Whistleblower wird?


Nun wird’s ganz bunt:
SSL und sonstige Verschlüsselungstechniken sind angeblich geknackt

Dann meldet am 6. September die Presse sogar, dass der amerikanische Geheimdienst NSA und sein britisches Pendant GCHQ im großen Stil Verschlüsselungstechniken knacken oder umgehen können. Dass die Geheimdienste Verschlüsselungstechniken als ihren Erzfeind betrachten, ist nicht erstaunlich – schließlich ist das Sammeln von Informationen ihre Hauptaufgabe. Die aktuellen Enthüllungen zeigen aber vor allem, wie systematisch die Geheimdienste das auf allen Ebenen angehen. Zum einen arbeitet die NSA demnach mit sogenannten Supercomputern, die entsprechende Kryptotechnik mit massivster Rechenkraft brechen sollen. Das mag im Einzelfall bei geringer Verschlüsselungstiefe auch funktionieren – nur: So viele Supercomputer, die solche einfachen Schlüssel knacken können, gibt es weltweit nicht. Diese reichen auf keinen Fall aus, weltweit zum Beispiel alle verschlüsselten Mails zu entschlüsseln oder gar alle VPN-Verbindungen abzuhören – wie es manche Zeitungen übertrieben darstellen. Bei höheren Verschlüsselungstechniken verlangen schon kleinste verschlüsselte Dateien 100 Prozent Leistung dieser wenigen Supercomputer und ein solcher Entschlüsselungsvorgang dauert dann je nach Verschlüsselungstiefe immer noch Tage, Wochen, Monate ...

Interessanter ist da die Information, dass nicht die SSL-Verschlüsselung an sich geknackt worden ist, sondern diverse Endgeräte beziehungsweise Programme, die die Verschlüsselung erzeugen, von den Geheimdiensten manipuliert worden sind, womit es möglich wird, beispielsweise durch Backdoors an die verschlüsselten Daten oder an die Schlüssel zu kommen. Das ist aber nichts Neues, jeder, der sich seit Jahren mit der Sicherheit von VPN-Techniken (Virtual Private Network – man spricht auch vom VPN-Tunnel) beschäftigt, weiß, dass die Tunnelverbindung an sich sicher ist – angreifbar sind nur die beiden Enden und man spricht darüber, dass die VPN-Endpunkte „gehärtet“ werden müssen, so wie früher im Kalten Krieg die Silos der Interkontinentalraketen „gehärtet“ werden mussten.

Manche Presseberichte wie „Die E-Banking-Verschlüsselung HTTPS ist jetzt von der NSA geknackt und somit unsicher.“ sind nur dummes Pressegeschrei und helfen nicht weiter, die Risiken wirklich zu erkennen. Allen IT-Sicherheitsexperten ist seit Jahren klar, dass SSL- und AES-VPN-Verschlüsselung absolut sicher sind – die Schwachstellen sind aber links und rechts vom VPN-Tunnel: die Endgeräte. Wenn ein VPN-Endgerät gekapert wurde, dann ist logischerweise das gesamte sich dahinter befindende Netz zugänglich. Nun besteht die Möglichkeit, dass die US-Geheimdienste mit Firmen für IT-Sicherheit (wie VPN-Router- oder Verschlüsselungssoftware-Firmen) und mit bekannten großen Internet- und Cloud-Unternehmen – Google, Facebook, Yahoo und Microsoft werden in diesem Zusammenhang immer wieder genannt – geheime Abkommen abgeschlossen haben. Ob das stimmt, weiß derzeit aber keiner. Wenn diese Firmen nun spezielle Hintertürchen in ihre Programme und Produkte eingebaut haben sollten, die es den Geheimdiensten erlauben, Daten abzuzapfen, dann ist das eine Sicherheitslücke, mit der man einen VPN-Tunnel knacken kann. Selbst der Insider Edward Snowden führt aber aus: „Verschlüsselung funktioniert! Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann.“ Alle Veröffentlichungen liefern bisher keine Hinweise darauf, dass es NSA oder GCHQ gelungen wäre, aktuell als stark eingestufte Verschlüsselungsverfahren wie AES (Advanced Encryption Standard) mit ausreichend langen Schlüsseln zu kompromittieren. Es sind also maximal die Hersteller der Sicherheitsprodukte oder die Sicherheitsprodukte selbst, die kompromittiert wurden und nicht die Verschlüsselungsalgorithmen an sich. Auch Snowden sagt: „Die haben keinen mathematischen Durchbruch geschafft und SSL an sich geknackt, sondern kompromittieren die Verschlüsselungsmaschinen beziehungsweise die Verschlüsselungssoftware.“ Laut „The Guardian“ und „New York Times“ vom 6. September 2013 verlangten die Vertreter der Geheimdienste die Unterlassung der Enthüllungsartikel über die Angriffe von NSA und GCHQ auf die Verschlüsselungstechnik – mit der Begründung: Zielpersonen im Ausland könnten durch die Veröffentlichung veranlasst werden, die Kommunikation zu ändern oder andere, bessere Verschlüsselungstechniken einzusetzen, die nicht oder nur sehr schwer von NSA oder GCHQ zu knacken sind.

Resümee: Eine realistische Aufklärung des Bürgers durch die Presse findet nicht statt. Nur „Bad News“ sind „Good News“ und so wird der Bürger nur verunsichert – wie einst beim BSE-Thema, wo sich ja manche Bürger zunächst nicht mehr trauten, Gummibärchen zu essen, weil darin angeblich Rindprodukte verarbeitet waren. Aber auch die Bundesregierung lässt hier den Bürger allein und vernachlässigt den Schutz seiner Bürger. Die Freiheit des deutschen Bürgers wird heute nicht nur mit Waffen am Hindukusch verteidigt – der deutsche Staat muss auch das Grundrecht auf informationelle Selbstbestimmung seiner Bürger verteidigen und schützen.

Schon im Zweiten Weltkrieg hatten Amis und Briten die deutsche Chiffriermaschine ENIGMA geknackt. Nach Meinung mancher Historiker soll die Komprittierung der ENIGMA einer der entscheidenden strategischen Vorteile der Allierten gewesen sein, den Zweiten Weltkrieg zu gewinnen.

 

 

 

Wozu die E-Mail-Überwachung auch nützlich sein kann:

Ein alter Araber lebt als heutiger US-Bürger in der zweiten Generation in einem Vorort von Chicago. Weil Altersersparnisse nicht reichen, würde er gern in seinem Garten Kartoffeln anpflanzen, aber er ist allein, alt und schwach. Sein Sohn studiert in Paris Economics. Deshalb schreibt der Vater eine E-Mail an seinen Sohn: „Lieber Ahmed! Ich bin sehr traurig, weil ich in meinem Garten keine Kartoffeln pflanzen kann. Ich bin sicher, wenn du hier wärst, könntest du mir helfen, den Garten umzugraben. Ich hab dich lieb. Dein Vater.“

Prompt erhält der alte Mann eine E-Mail von seinem Sohn: „Lieber Vater! Bitte rühre auf keinen Fall irgendetwas im Garten an. Dort habe ich nämlich ‚die Sachen‘ versteckt. Ich hab dich lieb. Ahmed.“

Keine zwei Stunden später umstellen die US-Army, die Marines, das FBI und die CIA das Haus des alten Mannes. Sie nehmen den Garten Zentimeter für Zentimeter auseinander, suchen alles ab, finden aber nichts. Enttäuscht ziehen sie wieder vondannen. Am selben Tag erhält der alte Mann eine weitere E-Mail von seinem Sohn: „Lieber Vater! Sicher ist der Garten jetzt komplett umgegraben und du kannst die Kartoffeln jetzt pflanzen. Mehr konnte ich aus der Entfernung leider nicht für dich tun. Ich hab dich lieb. Dein Sohn Ahmed.“ Ist das wirklich nur eine lustige Geschichte???


Ist nun ASP oder Cloud-Computing bei SPECTRUM unsicher?

Leider blickt der normale Bürger – der normale Nutzer von PC und Internet – nicht mehr durch. Viele Anwender trauen nun keinen Cloud-Anwendungen oder ASP-Lösungen mehr und sind verunsichert. Die ganzen Spionagetätigkeiten, die derzeit sicher nur zum Teil aufgedeckt sind und deren ganzes Ausmaß noch nicht bekannt ist, betreffen aber jeden (!) IT-Anwender – egal, ob er nun einen Home-PC hat, eine lokale Serverfarm in der Kanzlei oder ob er ASP-Services zum Beispiel bei SPECTRUM nutzt. Man kann sogar sagen, dass Private-Cloud-Anwendungen bei deutschen RZ-Betreibern grundsätzlich sicherer sind als der nur mit primitiven Mitteln geschützte Heim-PC oder das nicht täglich von Profis administrierte klassische Kanzleinetzwerk. Nur die Option „überhaupt keine Computer mehr nutzen“ ist da sicherer. Aber wer will oder kann das schon? Will ein Geheimdienst das Surfverhalten eines dedizierten SPECTRUM-NET-/-ASP-Anwenders aushorchen, hat er Pech – denn er „sieht“ maximal das Surfverhalten der über 5.000 SPECTRUM-NET-/-ASP-Anwender, nicht das eines einzelnen Users. Von außen (egal, ob für Hacker oder Geheimdienste) „sieht“ man nämlich nur die Firewalls von SPECTRUM – das dahinterliegende Netzwerk aller SPECTRUM-Kunden kann von außen nicht weiter identifiziert werden.

Die SPECTRUM-Server stehen in einer DMZ (Demilitarized Zone) und werden durch mehrere Firewalls gegen das offene Internet abgeschirmt. Durch diese Trennung wird das interne Netz vor unberechtigten Zugriffen von außen geschützt. Hierbei handelt es sich zum großen Teil um Linux-basierte Firewalls, die dem Open-Source-Standard angehören, also wo der Quellcode für jedermann im Internet einsehbar ist. Hier können weder NSA noch GCHQ Hintertürchen einprogrammiert haben – das würden Millionen von Open-Source-Programmierern weltweit sofort feststellen. SPECTRUM verwendet so gut wie keine konfektionierten Firewalls von Cisco und Co., somit kann es auch keine geheimen NSA-Hintertürchen geben, die US-Hersteller dort aus falsch verstandenem Patriotismus eingebaut haben (SPECTRUM kann immer noch nicht glauben, dass so etwas wirklich stattgefunden haben soll, denn diese Firmen wären nach Bekanntwerden bankrott). Außerdem überwachen SPECTRUM-IT-Profis – ergänzt durch die Spezialisten des Colocation-Rechenzentrums (in dem auch Banken, Versicherungen, Finanzdienstleister usw. ihre Server haben) – tagtäglich die Sicherheit der RZ-Infrastruktur und leiten bei Bedarf sofort entsprechende Sicherheitsmaßnahmen ein. Kein lokales Kanzleinetzwerk und kein Home-PC wären besser geschützt als hier.

SPECTRUM muss bei jedem Datenleck von Gesetzes wegen immer sofort alle Betroffenen informieren!

SPECTRUM ist zum einen aus dem mit den Kunden geschlossenen Auftragsdatenverarbeitungsvertrag verpflichtet, seine Kunden umgehend bei Datenlecks, Datenpannen und Datenschutzverstößen zu informieren. Ferner muss SPECTRUM bei Abhandenkommen von in Obhut befindlichen personenbezogenen Daten und wenn nicht ausgeschlossen werden kann, dass unberechtigte Dritte Kenntnis von den Daten erlangt haben könnten, nach dem Bundesdatenschutzgesetz (§ 42a BSDG, „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“) umgehend die Datenschutzaufsichtsbehörden und alle Betroffenen darüber informieren. Das kann sogar dazu führen, dass SPECTRUM nach aktueller Rechtslage nicht nur die Kunden, sondern auch deren Mandanten informieren muss. Die Datenschutzaufsichtsbehörden könnten sogar mehrere halbseitige Aufklärungsanzeigen in Tageszeitungen verlangen. SPECTRUM wird hier auch aus eigenem Geschäftsinteresse nichts verheimlichen oder vertuschen, denn jeder SPECTRUM-Mitarbeiter könnte ja zum Whistleblower werden und SPECTRUM wäre dann bei Bekanntwerden pleite.

Etwas zur Technik: Die von SPECTRUM genutzte VPN-Verbindung beispielsweise zur Ankopplung der PC-Terminals in den Kanzleien und bei den Unternehmen an die SPECTRUM-ASP-Server basiert auf dem offenen, anerkannten Open-Source-Standard OPENvpn, zu dem der Quellcode wiederum für jedermann offen im Internet liegt – und wenn Geheimdienste dort heimlich Backdoor-Zugänge eingebaut hätten, hätte das sicherlich einer der zig Tausend Open-Source-Programmierer weltweit schon längst entdeckt. Das ist aber gerade der Vorteil von Open-Source-Software: Diese Sicherheit bieten gerade diese Open-Source-Produkte, weil dort keiner etwas heimlich reinprogrammieren kann. Ob das auch für geschlossene Systeme von Apple, Microsoft, Cisco oder sonstigen US-dominierten Routerfirmen (die ja dem Patriot Act unterliegen) zutrifft, können wir nicht beantworten. Es erscheint aber nicht vorstellbar, dass Cisco und Co. das machen, denn würde das bekannt werden – und Whistleblower gibt es überall – wären diese Firmen einen Tag später weg vom Fenster und pleite.

Wenn zum Beispiel E-Mails von Geheimdiensten auf dem Übertragungsweg abgefangen werden, dann gilt das für jede Konstellation: ob Home-PC, Kanzleinetz oder ASP-Lösung. Fein – jeder weiß seit Jahren, dass E-Mails schon immer wie Postkarten von jedermann im Internet mitgelesen werden können. Das ist also nichts Neues und lange bekannt. Nur: Wer ist dieser Jedermann im Internet? Dazu ein Vergleich: Wer kann denn heute normale Postkarten mitlesen? Die Leute in den Postverteilstationen (sofern da neben den elektronischen, vollautomatischen Briefverteilanlagen überhaupt noch Menschen arbeiten) und Ihr Briefträger, bevor er die Postkarte in Ihren verschlossenen Briefkasten wirft. So groß ist das Risiko mit der Postkarte also nicht und man findet deshalb dort von Urlaubsgrüßen (auf die alle Einbrecher der Welt warten) über sonstige intime Bekenntnisse und Liebeserklärungen auch alles andere Vertrauliche. Ähnlich verhält es sich mit den E-Mails: Natürlich könnten die Mitarbeiter bei den Providern, wo die E-Mails vorbeirauschen, diese mitlesen – diese Mitarbeiter unterliegen aber dem deutschen Datenschutzrecht.

Es ist auch ein Märchen, dass E-Mails angeblich von Wuppertal nach Hamburg den halben Erdball umrunden und dann unterwegs an den Atlantik-Unterwasserkabeln von den Amis mit dem Spionage-U-Boot „Jimmy Carter“ abgehört werden. Der E-Mail-Traffic nimmt immer die kürzeste Route: 99 Prozent der E-Mails in Deutschland verlassen Deutschland überhaupt nicht. Wer eine Domain bei einem deutschen Provider (wie SPECTRUM, DATEV, T-Online, GMX, Web.de, 1&1, Unitymedia-Mail usw.) hat, kann relativ sicher sein, dass seine Mails nie außer Landes gehen. Nutzt jemand jedoch Google Mail, Yahoo Mail oder diesen neuen Microsoft-Office-365-Service, kann er umgekehrt sicher sein, dass seine Mails auch über ausländische Server laufen, bei denen das Mitlesen nicht ausgeschlossen werden kann. Schickt ein SPECTRUM-Kunde einem anderen SPECTRUM-Kunden eine E-Mail, verlässt diese noch nicht einmal die SPECTRUM-Infrastruktur, das heißt, die Mail geht gar nicht erst ins offene Internet, sondern wird direkt zugestellt – und bei SPECTRUM sitzt keiner vom Geheim-dienst, garantiert!

Bei Störungen im E-Mail-Betrieb müssen die SPECTRUM-Mitarbeiter laufend den Postweg „tracen“ (verfolgen), über welche Server die Mails vom Sender bis zum Empfänger geleitet werden. Diese Traces zeigen uns jedes Mal, dass meistens nur drei bis sechs Stationen bei bekannten deutschen Providern durchlaufen werden, bis die E-Mail beim Empfänger angekommen ist. Sofern die Deutsche Telekom nicht angezapft ist, können nicht viele Mails aus Deutschland bei NSA und Co. landen.

Noch eine Überlegung: Auf Providerseite wehrt SPECTRUM heute circa 95 Prozent der E-Mail-Zustellversuche ab, nur etwa 5 Prozent werden überhaupt an die Kunden durchgeleitet – der Rest sind Spam und Viren. Die Geheimdienste bekämen aber 100 Prozent der Mails – was machen die mit dem ganzen Mist?

Grundsätzlich kann man aber nur noch einmal darauf hinweisen, dass vertrauliche E-Mails ausschließlich verschlüsselt versendet werden sollten. Auch wenn die knackbar sein sollten: Der Entschlüsselungsaufwand ist mit Sicherheit höher, als wie früher einen verschlossenen Brief über Wasserdampf zu öffnen.

Natürlich wissen wir nicht, was alles noch im Rahmen dieser Spionageaffäre aufgedeckt wird. Wir behaupten auch nicht, dass ASP oder Cloud-Computing absolut sicher sind – es gibt aber keinen Grund, sich in die Steinzeit zurückzubeamen …


Wird der IT-Markt wieder neu aufgemischt?

Pressemeldung: Microsoft übernimmt das komplette Handy-Geschäft von Nokia. Der einstige Handy-Weltmarktführer und Nobelkonzern Nokia verkümmert zu einer kleinen Restfirma für das verbliebene Netzwerkgeschäft. Die wichtigste Erkenntnis hieraus ist, dass selbst Großkonzerne und Monopolisten in ganz kurzer Zeit vom Markt verschwinden können, wenn sie falsche Strategien verfolgen oder Markttendenzen verschlafen. Aber auch die derzeit noch führenden Smartphone-Hersteller Samsung und LG, die auf das Android-Betriebssystem von Google setzen, können in Bedrängnis geraten: Apple vermarktet sein iOS-Betriebssystem nur auf den eigenen iPhone- und iPad-Geräten. Microsoft hat nun die eigene Nokia-Produktsparte für das gar nicht so schlechte Windows Mobile 8 und sitzt auf einem dicken, prallen Geldsack, um nun im Handy- Geschäft richtig Gas zu geben, zumal das Windows- und MS-Office-Geschäft rückläufig ist. Aber auch Google hat sich gut aufgestellt: Erst Ende 2012 wurde die komplette Handy-Sparte von Motorola übernommen – und nun hat auch Google eine eigene Hardware-Plattform für sein eigenes Android-Betriebssystem.

Da Samsung, LG, HTC usw. bei ihren Smartphones auf das bisher kostenlose Android-Betriebssystem von Google gesetzt hatten, kann es passieren, dass die demnächst in die Röhre schauen. Wenn das die Fernsehröhre ist, haben sie zumindest eine Überlebenschance – denn jetzt werden klassische Fernseher zu überdimensionalen, wandfüllenden Multifunktions-Entertainment-Geräten mit Youtube-TV, mit integriertem Internetbrowser, mit Pay-TV und Video-on-Demand, mit Blu-Ray-Player, integrierter Recorderfunktion, Ultra-HD-Technik ...


Das nächste SPECTRUM-RZ-Produkt: Mandanten-Rechnungs-Archivierung

Die Anzahl der elektronisch übermittelten Rechnungen nimmt stetig zu. Zur steuerlichen Verwertbarkeit (Vorsteuerabzug) hat der Gesetzgeber in § 14 Abs. 1 UStG geregelt, dass bei diesen Rechnungen „die Echtheit der Herkunft der Rechnung, die Unversehrtheit ihres Inhalts und ihre Lesbarkeit (…) gewährleistet werden“ müssen. Hierbei kommt es in erster Linie darauf an, diese Rechnungen im Original und in unveränderbarer Weise zu archivieren. Hier bietet SPECTRUM seit Neuestem den Rechnungsarchiv-Service als Cloud-Produkt an, den Steuerberater wiederum ihren Mandanten anbieten können.

Hierzu weist der Steuerberater dem Mandanten einen gesicherten Cloud-Speicher als Mandanten-Rechnungsarchiv zu. Der Mandant lenkt seine Eingangsrechnungs-Mails (beispielsweise eingangsrechnung@peter-lustig-sanitaer.de) oder eine generelle Eingangsrechnungs-Mail-Adresse (...@my-invoices.de, ...@invoice-mail.de oder ...@invoice-cloud.de) in dieses Rechnungsarchiv. Dort werden sie gesetzeskonform archiviert und stehen dem Mandanten und dem Steuerberater jederzeit zur Verfügung. Hat der Mandant nun einen Kopierer mit Scan-to-Mail-Funktion, kann er auch alle Eingangs- und Ausgangsrechnungen so scannen, archivieren und dem Steuerberater zur Verarbeitung zur Verfügung stellen. Mit einem simplen Transferprogramm lassen sich nun E-Mails und die PDF-Rechnungsanhänge trennen und auf das lokale Kanzlei-EDV-System laden. Hier kann der Berater dann zum Beispiel mit DATEV-DMS und dem DATEV-Buchungsassistenten diese Rechnungen automatisch für das Rechnungswesen weiterverarbeiten. Das SPECTRUM-Rechnungsarchiv ist sehr preiswert: ab 1,00 Euro pro Mandant pro Monat. Erwähnenswert ist auch die Möglichkeit, zum Beispiel als Handelsvertreter anfallende Belege (Hotel, Benzin usw.) bereits unterwegs mit dem iPhone oder Android-Smartphone abzufotografieren (als „Smartphone-Scan“) und direkt in dieses Archiv zu schicken. So könnte der Steuerberater diese Belege schon einmal buchen. (Nach deutscher Rechtsprechung müssen Sie die Originalbelege dennoch weiterhin aufheben. Trotzdem dürfte das in dem einen oder anderen Fall eine interessante Option sein.)


Wer oder was ist ZUGFeRD?

War ein medienbruchfreier elektronischer Rechnungsaustausch bislang nur einigen EDI-Anwendern in der Großindustrie oder GS1-XML-Standard-Anwendern bei REWE, Metro, Unilever und Co. vorbehalten, so können mit dem neuen „ZUGFeRD“-Standard für elektronische Rechnungen endlich alle Unternehmen, insbesondere die kleinen und mittleren, sowie die öffentlichen Verwaltungen davon profitieren. ZUGFeRD wurde im Rahmen des Forums elektronische Rechnung Deutschland (FeRD) in Zusammenarbeit verschiedener Industrieverbände (BITKOM, AWV, GDV, HDE, VDA, ZVEI, VER) und großer Unternehmen wie GS1, DATEV usw. sowie Vertretern der öffentlichen Verwaltung gemeinsam entwickelt. Die ZUGFeRD-Spezifikation soll jetzt auch noch als DIN-Norm eingereicht werden. ZUGFeRD ermöglicht künftig den direkten Austausch strukturierter Daten zwischen Rechnungsersteller und Rechnungsempfänger. Das neue Datenformat ist eine wichtige Voraussetzung dafür, dass bei der Nutzung der elektronischen Rechnung bürokratische Hürden für Unternehmen und Verbraucher weiter abgebaut (weitere Infos unter: www.ferd-net.de), Kosten gespart und Prozesse und Verwaltungsabläufe deutlich erleichtert werden. Rechnungen werden im ZUGFeRD-Standard im PDF/A-Format elektronisch verschickt – denn ca. 32 Milliarden Rechnungen (32.000.000.000!) werden jedes Jahr erstellt, verschickt und dann geprüft, verarbeitet und hoffentlich auch bezahlt. Einerseits ist die Rechnung dann als PDF klar lesbar und der in der PDF/A3 hinterlegte XML-Datensatz kann ohne fehlerbehaftete OCR-Technik sofort weiterverarbeitet werden – das herkömmliche Scannen von Rechnungen (mit diesem leidigen mechanischen Entheften und elektronischen Heften) oder das händische Abtippen der Rechnungsdaten selbst beim E-Banking entfällt komplett. Diese Kombination aus Rechnungs-Image (PDF-Dokument) und strukturiertem Datensatz (XML) vereinfacht zukünftig den elektronischen Rechnungsaustausch und die maschinelle Weiterverarbeitung.

Neben der automatisierten Rechnungsbuchung und der gesetzeskonformen Archivierung wird durch das neue Format auch die Einhaltung organisatorischer Richtlinien und rechtlicher Anforderungen (zum Beispiel die Prüfung nach § 14 UStG) erleichtert, sodass Prozesse richtig optimiert werden können. Daten, die aus Sicht des Umsatzsteuerrechts zwingend angegeben werden müssen, sind als Pflichtfelder vorgesehen, andere Daten, die zur Rechnungsprüfung aus Sicht des Empfängers notwendig sind, sind hingegen optional. Auch wenn sich der Begriff „ZUGFeRD“ zunächst wie eine eigenbrötlerische, rein deutsche Lösung anhört, basiert der Standard auf dem international und in der Großindustrie schon längst etablierten Datenmodell „Core Cross Industry Invoice (Core CII)“ von UN/CEFACT, der ISO-Norm 19005-3:2012 (PDF/A-3) sowie den auf europäischer Ebene spezifizierten Message User Guidelines (MUG). Mit dem neuen Standard ZUGFeRD will Deutschland die Forderung der EU-Kommission erfüllen, die eRechnung zur dominierenden Variante zu machen – andere Staaten wie Dänemark, Italien, Österreich, Schweden und Spanien haben sogar Gesetze verabschiedet, die die eRechnung zwingend vorschreiben.

Die elektronische Rechnung mit einem elektronisch weiterverarbeitbaren Standardformat kann eine Revolution in dem wichtigen Geschäftsbereich „Rechnungswesen“ bei den Steuerberatern bedeuten. Wir können hier nur allen innovativen Steuerberatern raten, diese Entwicklung aufmerksam zu verfolgen und rechtzeitig ihr Geschäft abzusichern und sich auf diese Herausforderung einzustellen, denn es ist interessant zu beobachten, wie viele der großen Anbieter mit zentralen RZ- oder Cloud-Lösungen (die immer am Steuerberater vorbei gehen) hier ihre strategischen Ausrichtungen vornehmen.


SPECTRUM feiert 25-jähriges Geschäftsjubiläum


zurück

oder hier weiterlesen: