Sicherheit im Internet geht uns alle etwas an
Am Swiss Web Security Day traf sich das Who’s who der Schweizer Registrar- und Web-Hoster-Szene, um über Herausforderungen und Chancen, aber auch Pflichten und Verantwortlichkeiten im schweizerischen Datenverkehr zu beraten. Dabei ging es nicht nur um Sicherheit beim privaten Browsen, sondern auch um die Open-Source-Nutzung von KMUs und Datenverkehrsüberwachung auf Bundesebene.
Das Internet ist ein nicht mehr wegzudenkender Teil unseres Alltags. Durch aufkommende Technologien wie dem Internet of Things (IoT), künstlicher Intelligenz (KI) und Blockchain wird diese Entwicklung in Zukunft noch weiter vorangetrieben. Durch die immer tiefere Vernetzung unseres Alltags entstehen fast täglich neue soziale und geschäftliche Möglichkeiten, die aber auch immer potenzielle Angriffsstellen für Datenmissbrauch oder Datendiebstahl bieten.
Bei vielen Firmen geht heute zudem eine regelrechte Daten-Sammelwut um. Persönliche wie geschäftliche Kundendaten werden aufgesogen, in Datenbanken abgelegt und eventuell später gewinnbringend benutzt oder verkauft. Die meisten Firmen sehen sich dabei nicht als Datensicherer, sondern als reine Datensammler. Es steht ausser Frage, dass sich durch diese Entwicklung neben der Technologie in der Web-Security auch die Gesetzgebung zum Umgang und Schutz von sensiblen Daten laufend an die digitale Lebenswelt anpassen muss.
Web-Security: Ein Thema mit vielen Dimensionen
Um den unterschiedlichen Aspekten einer modernen Web-Security gerecht zu werden, traf sich die Schweizer Registrar- und Web-Hosting-Szene am 19. Oktober in Luzern zum Swiss Web Security Day 2017. Der von Simsa gemeinsam mit Switch und Sisa (Swiss Internet Security Alliance) organisierte Event ersetzt den bisher enger gefassten Simsa-Provider-Day. Auch am Provider-Day war Web-Security jeweils ein Hauptthema.
Roman Hüssy gab Einblick in seine Arbeit bei Melani (Melde- und Analysestelle Informationssicherung des Bundes), David Jardin von Joomla/CMS-Garden präsentierte das Vulnerability-Handling bei einem der grössten Open-Source-Website-Anbieter für Schweizer KMUs sowie das gemeinsam mit dem deutschen Branchenverband Eco e.V. lancierte Projekt «SIWECOS», das auch KMUs umfassende und moderne Sicherheitstools und -checks für deren Websites bietet. Weitere Themen des Tages waren die «Stop.Think.Connect»-Kampagne (Katja Dörlemann, Sisa) für einen bewussteren privaten Umgang mit Internetinhalten und neue Sicherheitserweiterungen im Bereich Authentizität und Integrität beim Domain Name System DNS (Oli Schacher, Switch). Dr. Rolf Auf der Maur von Simsa und Partner bei der Vischer AG vervollständigte das Themenpaket mit Informationen zu gesetzlichen Pflichten von Hosting-Providern und zur Notwendigkeit von brancheninternen Regulierungen.
Starke Branchenverbände für eine starke Positionierung
Gesetze anzupassen ist ein langjähriger Prozess, bei dem der Gesetzgeber mit den ständig wachsenden Sicherheitsaspekten im Internet allein nur schwierig mithalten kann. Um Innovation und Wirtschaft nicht durch Überregulierung zu unterbinden, braucht es einen ständigen und wohlwollenden Austausch zwischen Staat und dem privaten Sektor. Um geeint vor dem Gesetzgeber auftreten zu können, braucht es starke Verbände, die die Interessen ihrer Mitglieder und letztlich von ganzen Berufsständen vertreten können.
Bei Simsa organisieren sich neben den Schweizer Webagenturen auch die Schweizer Hosting-Provider. Die meisten Schweizer Hosting-Provider sind kleine und mittlere Unternehmen, die ihren Kunden Speicherplatz für Daten und Applikationen zur Verfügung stellen, die dann über eine Internetverbindung dem Endnutzer zugänglich gemacht werden. Die Hosting-Provider befinden sich somit in einer Schlüsselposition zwischen ihren Kunden als Betreiber von Onlineplattformen (die eventuell illegalen Content enthalten) und Dritten, die sich an den Inhalten stören könnten. Diese Schlüsselposition macht aus den Hosting-Providern auch ideale Ziele für Cyberattacken jeglicher Art, ob für Spionage, DDoS-Attacken oder die Verbreitung von Trojanern oder schädlichen Bots. Die Hosting-Provider sind sich ihrer Position bewusst und haben keinerlei Interesse daran, dass ihre Dienstleistungen für fragwürdige Zwecke missbraucht werden. Um der allgemeinen Rechtsunsicherheit bei illegalem oder unlauterem Content entgegenzuwirken, entwickelte Simsa mit dem Code of Conduct Hosting (CCH) bereits 2013 einen Selbstregulierungskodex, der sich sehr gut bewährt hat.
Wirksamkeit der Selbstregulierung
Der CCH ist ein freiwilliger, brancheninterner Verhaltenskodex, durch dessen Einhaltung ein verantwortungsvoller und einheitlicher Umgang mit Ansprüchen von in ihren Rechten verletzten Personen erleichtert wird. Da es in der Schweiz keine gesetzliche Regelung zum Umgang mit Daten durch Hosting-Provider gibt, wird der CCH heute branchenweit auch ohne Simsa-Mitgliedschaft grösstenteils erfolgreich anerkannt und angewandt. Dass die Eigenregulierung funktioniert, wurde letztlich auch vonseiten des Gesetzgebers bestätigt: Die jüngste Revision des Urheberrechtsgesetzes (URG) ist ein wegweisendes Beispiel dafür, wie eine funktionierende Eigenregulierung eines Branchenverbands den Gesetzgebungsprozess beeinflussen kann.
Simsa konnte durch öffentliche Stellungsnahmen und Mitwirken in einer Arbeitsgruppe des Instituts für geistiges Eigentum (AGUR 12 II) unverhältnismässige Pflichten und Sanktionen einseitig zulasten von Schweizer Hosting-Providern erfolgreich verhindern. Die Behörden haben die Wirksamkeit und den Nutzen der Eigenregulierung durch Simsa erkannt und die starken Benachteiligungen der Hosting-Provider durch schwerfällige Verfahren sowie standortbedingte Benachteiligungen aus dem Revisionsentwurf gestrichen.
Vorgehen bei verdächtigen Inhalten
Hosting-Provider stellen als Intermediäre zwar die Infrastruktur für Internetseiten zur Verfügung, können als Dienstleister aber nicht zur Überwachung ihrer Kunden und deren gehosteten Inhalte gezwungen werden. Genauso wenig können sie rechtliche Verantwortung für Kunden-Content auf ihrer Infrastruktur übernehmen. Bei rechtlichen Schäden wie Urheberrechtsverletzungen, aber auch bei wirtschaftlichen Schäden, zum Beispiel durch einen über ihre Infrastruktur verteilten Trojaner, darf der Hosting-Provider nicht für das (vielleicht mutwillige) Vergehen eines Nutzers bestraft werden.
Der CCH regelt für die Betreiber von Hosting-Services die Abfolge bei Beanstandungen von verdächtigen Inhalten auf ihren Servern. Dies passiert in der Regel nicht auf Verdacht: Auch der Antragsteller muss inhaltliche und formale Anforderungen erfüllen. Name und Adresse des Absenders einer Beanstandung muss darin ebenso enthalten sein wie eine rechtliche Zusicherung, dass der Absender zum Beispiel als Inhaber oder als einziger Lizenznehmer eingetragen ist. Ausserdem muss eine Begründung der Unzulässigkeit der beanstandeten Inhalte vorliegen. Ist dies der Fall, sieht der Code of Conduct Hosting ein Notice-and-Notice-Verfahren vor. Nur in ganz klaren Fällen schreitet man direkt zu einem «Takedown» der betroffenen Inhalte über.
Beim Notice-and-Notice-Verfahren wird die begründete Beanstandung formell und inhaltlich korrekt an den Kunden (Anbieter von Webinhalten) weitergeleitet, mit der Aufforderung, die Inhalte entweder selbstständig zu entfernen oder die Rechtmässigkeit direkt gegenüber dem Absender der Notice zu begründen. Kommt es nach einer rechtlichen Abklärung zu einem «Takedown», oder im Gegenzug zu einer erneuten Aufschaltung eines in erster Instanz beanstandeten Inhalts, kann so die Anonymität des Kunden gewahrt werden.