Digitale Heimarbeit mit FOSS

|   Sicherheit

Digitale Heimareit ist in Zeiten von Corona eine wichtige Alternative zur physischen Kontaktreduktion geworden. Aber nicht alle Hilfen und Werkzeuge sind aus Datenschutzsicht geeignet. Was wir unseren Mitgliedern empfehlen:

Auch bei der Heimarbeit am Rechner gelten die Datenschutzbestimmungen weiter. Genau deshalb sind allseits beliebte Programme, wie z.B. WhatsApp oder Hangout für den Einsatz im häuslichen Büro schlecht geeignet, weil sie oft ungefragt zu viele Daten sammeln und weitergeben. Dabei geht es nicht nur um den Schutz der Privatsphäre von Mitarbeitern, sondern auch um den Schutz interner betrieblicher Daten und Metadaten. Die könnten so in falsche Hände gelangen und damit der - durch künstliche Intelligenz unterstützten - Industriespionage Tür und Tor öffnen.

Wir haben deshalb eine Reihe von Werkzeugen zusammengestellt, die nach unserem besten Wissen und Gewissen sicher und brauchbar sind. Kriterien waren die Verschlüsselungstechnik, die Quelloffenheit (Open Source) und die Handhabbarkeit bei Anwendung und ggf. Installation.

  • SIGNAL (Messenger):
    Nachrichtenaustausch einzeln und in Gruppen, Videotelefonie, ein Messenger mit echter Ende-zu-Ende-Verschlüsselung, kein Sammeln von Verbindungsdaten, NICHT komplett quelloffen, sondern private gemeinnützige Stiftung. Geeignet für Smartphones (IOS und Android), LINUX, Mac und Windows. signal.org
  • Jitsi Meet(Videokonferenz):
    Ein Videokonferenztool für kleine bis mittlere Konfernzgrößen. Quelloffener Code, eine eigene Serverinstanz kann auf LINUX selbst installiert werden, Clients-Apps für IOS und Android sowie browserfähig. Kein Konto zur Nutzung notwendig. Kostenlos nutzbare Serverinstanzen werden inzwischen auch von vielen Institutionen angeboten. jitsi.org
  • Update zu den Viedokonferenzen:
    Die Humboldt-Universität Berlin bietet einen hervorragenden ⇒Leitfaden für die Auswahl des richtigen Werkzeugs.
  • Nextcloud (Zusammenarbeit):
    Zusammenarbeitsplattform für gemeinsame Dokumentenbearbeitung, Kommunikation und Terminplanung. Benötigt wird eine Serverinstanz (auf LINUX-System) und eine Client-App, die für die Betriebssysteme LINUX, Mac und Windows sowie für die mobilen Systeme Android, iOS und WindowsMobile verfügbar ist. Die Lösung ist komplett quelloffen, arbeitet verschlüsselt und sammelt keinerlei Metadaten. Es ist eine firmeneigene Instanz notwendig. Wer keine eigene Serverhardware einsetzen will, dem sei einer der wenigen wirklich deutschen Hoster empfohlen. Fragen Sie immer nach dem Hardware-Stanort! nextcloud.com
    Wer auf kooperative Lösungen setzt, kann sich bei der hostsharing eG (genossenschaftlicher IT-Hoster aus Hamburg) eine nextcloud-Instanz mieten.

Selbstverständlich gibt es noch mehr Lösungen insbesondere im Bereich Messenger, wie diese Übersicht (englisch) zeigt: https://www.securemessagingapps.com/. Aber die meisten Messenger außer Threema, Viper und Wire haben in Bezug auf Datenschutz und Sicherheit erhebliche Lücken. Und in der Handhabung ist nur Signal inzwischen den Diensten der großen amerikanischen Datenkraken ebenbürtig.

Bei den Videokonferenz-Lösungen sieht es nicht anders aus. Hangout, Zoom oder Teamviewer sind datenschutztechnisch grenzwertig bis ungeeignet, wenn man die Anzahl der Tracker und die Datenschutzerklärungen anschaut. Wire macht vieles richtig, ist aber derzeit in unklaren Eigentumsverhältnissen, was eine Beurteilung erschwert. In aller Regel ist auch ein Auftragsverarbeiter-Vertrag mit den Dienstleistern abzuschließen, sofern diese die Daten Ihrer Mitarbeiter verarbeiten. Das ist regelmäßig dann der Fall, wenn ein Konto für die Nutzung eingerichtet werden muss.

Wichtig ist es auf jeden Fall, immer darauf zu schauen, welche Daten das jeweilige Werkzeug sammelt und ob die Server physisch innerhalb der EU stehen. Quelloffene Software ist generell der proprietären vorzuziehen, weil dann Sicherheit und Datensammelverhalten geprüft werden können und vor allem keine Abhängikeit von konzerninternen oder fremdstaatlichen Entscheidungen besteht. Gerade die USA und China neigen dazu, wie die jüngsten Beispiele der Sanktionspolitik (Venezuelea, Iran) zeigen, bestimmte Staaten bzw. Firmen auch in Deutschland sehr willkürlich und ohne Vorwarnung von ihren eigenen Daten abzuschneiden, so diese von US-Firmen betrieben oder gehostet werden.