Archiv für den Monat: Juli 2011

Aus für Arbeitnehmer-Datenbank ELENA

Das Projekt war von Anfang an höchst umstritten und hatte viele Fragen aufgeworfen. Nun zieht die Bundesregierung die Notbremse und stellt den elektronischen Entgeltnachweis ELENA umgehen ein. Der Rückzug stößt in Wirtschaft und Politik auf breite Zustimmung – kommt aber gerade die Softwarebranche teuer zu stehen.

„Umfassende Untersuchungen haben jetzt gezeigt, dass sich dieser Sicherheitsstandard, der für das ELENA-Verfahren datenschutzrechtlich zwingend geboten ist, trotz aller Bemühungen in absehbarer Zeit nicht flächendeckend verbreiten wird“, heißt es in einer gemeinsamen Mitteilung von Wirtschafts- und Arbeitsministerium. Die Bundesregierung werde dafür sorgen, dass die bisher gespeicherten Daten unverzüglich gelöscht und die Arbeitgeber von den bestehenden elektronischen Meldepflichten entlastet werden.

Das Wirtschaftsministerium will dafür in Kürze einen entsprechenden Gesetzentwurf vorlegen. Das Arbeitsministerium sicherte außerdem zu, ein Konzept für ein einfacheres und unbürokratischeres Meldeverfahren in der Sozialversicherung zu erarbeiten. Die Infrastruktur des ELENA-Verfahrens und das Know-how aus dem Projekt sollen in dieses neue Verfahren mit einfließen.

Kritiker verbuchen den ELENA-Stopp nun als ihren Erfolg. Rena Tangens von der Bürgerrechts- und Datenschutz-Organisation Foebud etwa jubelt: „Wir haben es geschafft – der breite Widerstand gegen die Datenkrake ELENA war erfolgreich! Über ein Jahr lang hat die Bundesregierung die Probleme mit ELENA verschleppt, nun musste sie die Reißleine ziehen.“

Den kompletten Artikel von Sibylle Gassner, findet ihr unter Aus für Arbeitnehmer-Datenbank ELENA von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Überblick zu Open Source in Behörden

Die Bundesstelle für IT des Bundesverwaltungsamts (BIT) betreibt den Webauftritt des ‚Kompentenzzentrums Open Source Software‘ (CC OSS). Das Online-Angebot wurde jetzt erheblich ausgebaut.

Bundesweit nutzen Behörden den Webauftritt des Kompetenzzentrums als Quelle für Informationen zum Einsatz von Open Source Software und für den Austausch von Erfahrungen. Behörden können über den Webauftritt Einsatzszenarien sowie Produktbeschreibungen veröffentlichen, suchen und einsehen.

Mittlerweile wurden über 25 Einsatzszenarien von 20 Behörden veröffentlicht. Rund 60 Produktbeschreibungen wurden größtenteils durch IT-Experten der Behörden sowie der Open Source Communities erfasst und werden von diesen regelmäßig aktualisiert. Aktuelle Neuigkeiten, Termine und Informationen zu rechtlichen Aspekten ergänzen das Angebot.

So ist etwa eine ‚Open Source Karte der Öffentlichen Verwaltung‘ verfügbar. Die Karte bietet eine geografische Darstellung des Einsatzes und der Entwicklung von Open Source Software in der Verwaltung. Durch Klick auf einen Marker erhält der Nutzer Informationen zum Einsatzszenario, durch einen weiteren Klick auf den Titel des Einsatzszenarios sind Details abrufbar.

Web-2.0-Funktionalitäten ermöglichen die Pflege von Inhalten durch die registrierten Experten direkt über den Browser. Interessenten können sich durch das Abonnement von RSS-Feeds über neue Inhalte informieren oder im Forum mit anderen Experten diskutieren. Der Webauftritt selbst basiert auf dem Open Source-Produkt Drupal.

Den originalen Artikel mit weiteren Links von Lutz Poessneck, findet ihr unter Überblick zu Open Source in Behörden von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Facebook sperrt Open-Xchange aus

Facebook sieht in dem Freunde-Exporttool, das Open-Xchange seit kurzem anbietet, einen Verstoß gegen seine AGBs und blockiert ab sofort den Zugriff durch das Synchronisierungstool.

Der Groupware-Hersteller Open-Xchange sorgte 2010 mit dem Web-2.0-Tool Open Data für Furore. Das Synchronisationswerkzeug ermöglichte es einem OX-User, im Webfrontend der Groupware auch Kontaktdaten von Social Networks wie Xing, Linked IN oder Facebook zu organisieren (das Linux-Magazin berichtete in seiner Ausgabe 07/10, S. 88). Doch dem will die Firma von Mark Zuckerberg offenbar einen Riegel vorschieben: Wie Rafael Laguna, CEO von Open-Xchange, berichtet, sperrte Facebook die Software aus, obwohl sie die offizielle API nutze und seiner Meinung nach nicht gegen die AGBs des Betreibers verstoße.

Laguna ist empört darüber, dass Facebook es Usern nicht gestatte, seine Daten zu exportieren. Schon wenige Tage vorher hatte Facebook die Google-Erweiterung „Facebook Friends Exporter“ von Mohamed Mansour ausgesperrt, auch hier mit dem Verweis auf die AGBs, die es nicht erlauben würden, die Freundesliste eines Freundes „außerhalb der Applikation zu verwenden, selbst wenn ein Nutzer diesem zustimmt“.

In Lagunas Blog findet sich das komplette Schreiben: Zunächst umging Open Data die Sperrung mit einem geänderten API-Key, doch wie der CEO (auch auf Google+) berichtet, könnte Facebook ja auch diesen jederzeit wieder sperren. „Ich bezweifle aber, dass Facebook mit seinem langsamen, öffentlichen Selbstmord weitermacht.“, so Laguna. „Außerdem verwenden wir ja auch die gleichen Informationen, die Facebook selbst den Anwendern über den Export in die Datei „friends.html“ bereitstellt. Wir verletzen hier keinerlei Bestimmungen.“

Den kompletten Artikel von Markus Feilner, findet ihr unter Facebook sperrt Open-Xchange aus von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Linux-Sicherheit – Angriffe entdecken

Angriffe auf Linux-Systeme hinterlassen fast immer verräterische Spuren. Doch die manuelle Analyse von Logfiles ist sehr aufwändig und wird daher meist vernachlässigt. Doch es gibt nützliche Tools, die den Administrator bei der Spurensuche unterstützen.

Grundsätzlich hinterlassen alle Daemon, Module, User und Anwendungen Spuren ihrer Aktivitäten im Linux System. Sie speichert Protokolle ihrer Aktivität in Logfiles, die bei den meisten Distributionen unter /var/log/ zu finden sind. Die Logfiles sind nur mit privilegierten Rechten (root) veränderbar, auch das Löschen ist nicht anders möglich. Daher stehen die Chancen gut, in den Logfiles Details zu Angriffen zu finden.

Bordmittel für sicheres Surfen, Verwalten von Passwörtern und geschütztes Datei-Handling sind in Linux bereits rudimentär vorhanden.

Auch für Linux Systeme gibt es rootkits, die ein System infiltrieren und unsichtbar fernsteuern. Zum enttarnen von rootkits gibt es spezielle Software, die bei der Analyse hilft. Aber schon das Sichten der Logfiles eines Systems kann Aufschluss darüber geben, ob jemand unbefugt im System gearbeitet hat. Ein deutliches Indiz dafür, dass ein Angreifer ein System übernommen oder kurzfristig kompromittiert hat, sind leere Logfiles oder zeitlich Lücken in den Logs. Angreifer, die professionell vorgehen, verwischen meistens ihre Spuren nach dem erfolgreichen Einbruch in einem System, indem sie die Logdateien löschen.

Den kompletten Artikel von Marco Rogge findet ihr unter Linux-Sicherheit – Angriffe entdecken von computerwoche.de.

Freundliche Grüße
das OSS-Haus Team

Wie europäische Daten in der Cloud geschützt sind

Aktuelle Artikel berichten, dass der USA Patriot Act amerikanische Behörden dazu berechtigt, Kundendaten sogar in europäischen Datenzentren einzusehen, wenn es sich um einen amerikanischen Anbieter handelt. Ein Rückschlag für Cloud Computing? Mitnichten!

Es ist an der Zeit, einiges klarzustellen. In jedem Fall kommen Unternehmen nicht umhin, genau zu prüfen, wem sie ihre Daten anvertrauen.

Die jüngsten Aussagen zum USA Patriot Act und seine Auswirkung auf Daten in der Cloud haben in der vergangenen Woche viele Unternehmen in Europa in Unruhe versetzt: Einige der Berichte lösen das unbehagliche Gefühl aus, die US-Behörden erhielten durch dieses Gesetz die Vollmacht, auf sämtliche Daten zuzugreifen – unabhängig von ihrem Speicherort. Doch Panik wäre fehl am Platze. Stattdessen sollten Unternehmen sich nur einmal mehr ins Bewusstsein rufen, dass eine ausführliche Evaluation im Vorfeld der Nutzung von Cloud Computing unerlässlich ist.

Eingeführt nach den Anschlägen vom 11. September 2001 als ein Anti-Terror-Gesetz, erlaubt der Patriot Act amerikanischen Behörden weitreichenden Zugriff auf Daten von US-Unternehmen und ihren Kunden, unabhängig vom Speicherort. Außerdem verbietet das Gesetz den Anbietern, die Datenweitergabe gegenüber ihren Kunden offenzulegen. Der Patriot Act ist eine gesetzliche Maßnahme der Vereinigten Staaten, um sich selbst und ihre Interessen zu schützen. Dies mag gerade angesichts der Ereignisse von 9/11 ein nachvollziehbarer Wunsch der USA sein. Europäischen Unternehmen jedoch, die diesem Wunsch nicht nachkommen und ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt.

Das EU-Recht verbietet europäischen Cloud-Providern strikt die Weitergabe von Kundendaten in andere Regionen. Konkret heißt dies: Europäische Cloud-Anbieter können von US-Behörden nicht gezwungen werden, Daten von Nicht-Amerikanern herauszugeben – es sei denn, der Kunde gibt sein ausdrückliches Einverständnis. Das Gesetz ist hier eindeutig; es gibt keine rechtlichen Streitpunkte. Beauftragt ein europäischer Kunde einen europäischen Provider, und speichert dieser die Daten in Europa, so greift europäisches Recht.

Den kompletten Artikel von Dr. Joseph Reger, findet ihr unter Wie europäische Daten in der Cloud geschützt sind von silicon.de.

Freundliche Grüße
das OSS-Haus Team