Nach Enthüllungen über Schönbohm und Bidens Executive Order brauchen wir mehr denn je eine klare Linie zum Thema Datenschutz.
Der Skandal um BSI-Chef Arne Schönbohm und die Diskussionen um die Executive Order Joe Bidens zum Datenschutz-Abkommen mit der EU sind zwei neue, äußerst besorgniserregende Nachrichten aus der IT-Sicherheitswelt. Noch liegen in beiden Fällen nicht alle Details vor, und die Nachrichtenlage ändert sich in schnellem Tempo. Und doch lässt sich sagen, dass beide Vorgänge grundsätzliche Probleme mit Datensicherheit und Datenschutz in Deutschland offenbaren, die mit kleinen Anpassungen in die eine oder andere Richtung nicht behoben werden können. Vielmehr ist es Zeit, Datenschutz und Datensicherheit und Datensicherheit in Deutschland grundlegend neu zu organisieren.
Es ergeben sich vier zentrale Forderungen an eine Neuordnung:
1. Datenschutz und -sicherheit sind technische Themen und müssen durch ein technisches Ressort geregelt werden!
Eine Institution, die die Datensicherheit in Deutschland gewährleisten soll, muss losgelöst von politischer Einflussnahme die technisch besten Lösungen und Maßnahmen testen und empfehlen. Dabei darf es zu keinerlei Interessenverflechtung kommen. Der Fall Schönbohm und seine Beziehungen zum Verein Cybersicherheitsrat Deutschland e.V. ist ein Paradebeispiel dafür, wie es nicht laufen darf. Dass der Chef einer Bundesbehörde, die für die IT-Sicherheit in Deutschland zuständig ist, mit einem Verein mit unklaren Zielen verbandelt ist, der in seinem Namen auch noch den Eindruck einer hoch offiziellen Funktion erwecken will, ist ein Unding. Darüber hinaus muss eine Institution wie das BSI auf der Höhe der Zeit operieren. Dass dies nicht der Fall ist, belegt beispielsweise die Vergabe von IT-Sicherheitskennzeichen durch das BSI. Derartige Kennzeichen lassen sich lediglich in den Kategorien Breitbandrouter, E-Mail-Dienste und Smarte Verbrauchergeräte beantragen. Als ob es Cloud Computing, Virtualisierung oder Edge Computing etc. nicht gäbe. Das BSI scheint technisch um Jahrzehnte hinterherzuhinken.
2. Wir brauchen ein zuverlässiges Gütesiegel für generelle IT-Lösungen sowie IT-Sicherheitslösungen!
Unternehmen und Behörden benötigen ein verlässliches Siegel, das ihnen bestätigt, dass sie bestimmte Anwendungen und IT-Sicherheitslösungen bedenkenlos einsetzen können. Im Moment steht es um die Verlässlichkeit entsprechender Zertifizierungen ähnlich schlecht wie um die der vielzähligen Biosiegel in der Lebensmittelbranche. Aktuell werden Zertifizierungen entweder durch eine Art Selbstauskunft an eine unabhängige Organisation wie das BSI erteilt oder durch die Mitgliedschaft in einem Verein bzw. Branchenverband. Keines dieser vermeintlichen Gütesiegle hat mehr Wert als z.B. die Angabe bei der Einreise in die USA, man plane keinen terroristischen Anschlag während seines Aufenthalts. Es gibt selbst Fälle, in denen Unternehmen solche Zertifizierungen erhalten bzw. behalten, die beispielweise durch Geldwäsche für Russland oder andere illegale Geschäfte in die Schlagzeilen geraten sind. Es kann nicht angehen, dass jeder x-beliebige Toaster in Deutschland gründlicher und zuverlässiger getestet und zertifiziert wird als IT-Sicherheitsprodukte, die unsere kritischen Infrastrukturen beschützen.
Zu den Kriterien, die minimal in eine gründliche, unabhängige Überprüfung einfließen müssen, gehören beispielsweise:
- Entwicklungsstandort Deutschland: Inwiefern sind wirklich keine Parteien an der Entwicklung beteiligt, die nicht der deutschen Rechtsprechung unterliegen?
- Source Code-Prüfung: Der Source Code muss offengelegt werden und nicht nur daraufhin überprüft werden, ob er technische Fehler oder Hintertüren enthält. Auch die Software-Lieferkette, d.h. die Herkunft einzelner Komponenten, muss überprüft werden.
- Die Software muss eingehenden Penetrationstests unterzogen werden.
- Das Anbieter-Unternehmen selbst muss auf Verflechtungen überprüft werden. Bestehen (personelle) Verflechtungen mit zweifelhaften Organisationen oder Mächten, denen nicht zu vertrauen ist? Liefert das Unternehmen Produkte in Länder, mit denen wir uns im Cyberkrieg befinden? etc.
Eine solche Überprüfung darf im Übrigen nicht mit der Zertifizierung abgeschlossen sein. Ein späterer Verstoß gegen die Vergabekriterien muss zu einem Entzug des Gütesiegels führen.
3. Sicherheit und Datenschutz müssen besser zusammenarbeiten und benötigen mehr Kompetenzen!
Datensicherheit und Datenschutz müssen Hand in Hand arbeiten, gerade in der aktuellen Situation eines Cyberkriegs. Datenschutzbehörden haben sich in der letzten Zeit häufig vor allem als überfordert oder inkonsequent erwiesen. Das Herumlavieren der Datenschützer beim Einsatz von MS 365 hat das gerade erst wieder deutlich gemacht. Selbst wenn Datenschützer konsequent genug waren, den Einsatz von MS 365 an Schulen zu untersagen, waren sie nicht in der Lage, technisch adäquate Alternativen anzubieten. Darüber hinaus blieben und bleiben Verstöße weitgehend ungeahndet.
4. Wir brauchen eindeutige Regeln - jetzt!
Bei der Diskussion um den Schutz europäischer Daten vor unberechtigtem Zugriff durch US-Behörden befinden wir uns inzwischen in der x-ten Runde. Unternehmen wissen nicht, welche Maßnahmen sie treffen müssen oder welche (Cloud-) Lösungen sie einsetzen dürfen. Solange sie keine klaren Vorgaben erhalten und auch keine Konsequenzen zu fürchten haben, agieren sie nach dem Motto „Weiter so wie bisher. So ist die Executive Order Joe Bidens zum Datenschutz-Abkommen mit der EU nur eine weitere Folge der politschen Soap Opera, in der lediglich eine Scheinlösung für ein dringliches Problem präsentiert wird. Die entscheidende Frage an die Executive Order lautet: Wann ist eine Überwachung, also Zugriff auf Daten europäischer Bürger oder Unternehmen „verhältnismäßig"? Wie der Datenschutz-Aktivist Max Schrems in einer Stellungnahme feststellte, haben die EU und die USA unterschiedliche Auffassungen darüber, was verhältnismäßig ist. Es ist eine Illusion, dass sich Daten europäischer Bürger und Unternehmen mit derartig schwammigen Formulierungen sichern ließen. Diese neue Folge der transatlantischen Datenschutz-Soap-Opera sollten wir uns nicht antun. Hier muss die EU-Kommission endlich Klarheit schaffen.
Disclaimer:
Soweit dieses Dokument juristische Erläuterungen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.
