„Wir brauchen eindeutige Regeln – jetzt!“
Der Skandal um die Abberufung von BSI-Chef Schönbohm und die Diskussionen um die Executive Order zum Datenschutz-Abkommen mit der EU sind zwei neue, äußerst besorgniserregende Nachrichten aus der IT-Sicherheitswelt. Derzeit wird vor allem über die Details der Verflechtungen und die Rolle der Ministerin in der Causa Schönbohm diskutiert bzw. berichtet. Dabei sollte sich das Augenmerk auch auf die grundlegenden Missstände bei Datensicherheit und Datenschutz in Deutschland richten. Das meint Ex-CCCer und Datenschutz-Urgestein Elmar Eperiesi-Beck und hat hierzu vier zentrale Forderungen aufgestellt, die wir nur zu gerne mit unseren Lesern teilen.
Datenschutz und -sicherheit sind technische Themen und müssen durch ein technisches Ressort geregelt werden!
Eine Institution, die die Datensicherheit in Deutschland gewährleisten soll, muss losgelöst von politischer Einflussnahme die technisch besten Lösungen und Maßnahmen testen und empfehlen. Dabei darf es zu keinerlei Interessenverflechtungen kommen. Der Fall Schönbohm und seine Beziehungen zum Verein „Cybersicherheitsrat Deutschland e.V.“ ist ein Paradebeispiel dafür, wie es nicht laufen darf. Dass der Chef einer Bundesbehörde, die für die IT-Sicherheit in Deutschland zuständig ist, mit einem Verein mit unklaren Zielen verbandelt ist, der in seinem Namen auch noch den Eindruck einer hoch offiziellen Funktion erwecken will , ist ein Unding. Darüber hinaus muss eine Institution wie das BSI auf der Höhe der Zeit operieren. Dass dies nicht der Fall ist, belegt beispielsweise die Vergabe von IT-Sicherheitskennzeichen durch das BSI. Derartige Kennzeichen lassen sich lediglich in den Kategorien Breitbandrouter, E-Mail-Dienste und Smarte Verbrauchergeräte beantragen. Als ob es Cloud Computing, Virtualisierung oder Edge Computing etc. nicht gäbe. Das BSI scheint technisch um Jahrzehnte hinterherzuhinken.
Wir brauchen ein verlässliches Gütesiegel für generelle IT-Lösungen sowie IT-Sicherheitslösungen!
Unternehmen und Behörden benötigen ein verlässliches Siegel, das ihnen bestätigt, dass sie bestimmte Anwendungen und IT-Sicherheitslösungen bedenkenlos einsetzen können. Im Moment steht es um die Verlässlichkeit entsprechender Zertifizierungen ähnlich schlecht wie um die der vielzähligen Biosiegel in der Lebensmittelbranche. Aktuell werden Zertifizierungen entweder durch eine Art Selbstauskunft an eine unabhängige Organisation wie das BSI erteilt oder durch die Mitgliedschaft in einem Verein bzw. Branchenverband. Keines dieser vermeintlichen Gütesiegel hat mehr Wert als z.B. die Angabe bei der Einreise in die USA, man plane keinen terroristischen Anschlag während seines Aufenthalts. Es gibt selbst Fälle, in denen Unternehmen solche Zertifizierungen erhalten bzw. behalten, die beispielsweise durch Geldwäsche für Russland oder andere illegale Geschäfte in die Schlagzeilen geraten sind. Es kann nicht angehen, dass jeder x-beliebige Toaster in Deutschland gründlicher und zuverlässiger getestet und zertifiziert wird als IT-Sicherheitsprodukte, die unsere kritischen Infrastrukturen beschützen.
Zu den Kriterien, die minimal in eine gründliche, unabhängige Überprüfung einfließen müssen, gehören beispielsweise:
- Entwicklungsstandort Deutschland: Inwiefern sind wirklich keine Parteien an der Entwicklung beteiligt, die nicht der deutschen Rechtsprechung unterliegen?
- Source Code-Prüfung: Der Source Code muss offengelegt werden und nicht nur daraufhin überprüft werden, ob er technische Fehler oder Hintertüren enthält. Auch die Software-Lieferkette, d.h. die Herkunft einzelner Komponenten, muss überprüft werden.
- Die Software muss eingehenden Penetrationstests unterzogen werden.
- Das Anbieter-Unternehmen selbst muss auf Verflechtungen überprüft werden. Bestehen (personelle) Verflechtungen mit zweifelhaften Organisationen oder Mächten, denen nicht zu vertrauen ist? Liefert das Unternehmen Produkte in Länder, mit denen wir uns im Cyberkrieg befinden? etc.
Eine solche Überprüfung darf im Übrigen nicht mit der Zertifizierung abgeschlossen sein. Ein späterer Verstoß gegen die Vergabekriterien muss zu einem Entzug des Gütesiegels führen.
Datensicherheit und Datenschutz müssen besser zusammenarbeiten und benötigen mehr Kompetenzen!
Datensicherheit und Datenschutz müssen Hand in Hand arbeiten, gerade in der aktuellen Situation eines Cyberkriegs. Datenschutzbehörden haben sich in der letzten Zeit häufig vor allem als überfordert oder inkonsequent erwiesen. Das Herumlavieren der Datenschützer beim Einsatz von MS 365 hat das gerade erst wieder deutlich gemacht. Selbst wenn Datenschützer konsequent genug waren, den Einsatz von MS 365 an Schulen zu untersagen, waren sie nicht in der Lage, technisch adäquate Alternativen anzubieten. Darüber hinaus blieben und bleiben Verstöße weitgehend ungeahndet.
Wir brauchen eindeutige Regeln – jetzt!
Bei der Diskussion um den Schutz europäischer Daten vor unberechtigtem Zugriff durch US-Behörden befinden wir uns inzwischen in der x-ten Runde. Unternehmen wissen nicht, welche Maßnahmen sie treffen müssen oder welche (Cloud-) Lösungen sie einsetzen dürfen. Solange sie keine klaren Vorgaben erhalten und auch keine Konsequenzen zu fürchten haben, agieren sie nach dem Motto „Weiter so wie bisher“. So ist die Executive Order Joe Bidens zum Datenschutz-Abkommen mit der EU nur eine weiterer Folge der politischen Soap Opera, in der lediglich eine Scheinlösung für ein dringliches Problem präsentiert wird. Die entscheidende Frage an die Executive Order lautet: Wann ist eine Überwachung, also ein Zugriff auf Daten europäischer Bürger oder Unternehmen „verhältnismäßig“? Wie der Datenschutz-Aktivist Max Schrems in einer Stellungnahme feststellte, haben die EU und die USA unterschiedliche Auffassungen darüber, was verhältnismäßig ist. Es ist eine Illusion, dass sich Daten europäischer Bürger und Unternehmen mit derartig schwammigen Formulierungen sichern ließen. Diese neue Folge der transatlantischen Datenschutz-Soap-Opera sollten wir uns nicht antun. Hier muss die EU-Kommission endlich Klarheit schaffen.
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.