Dienstag, 25. Juni 2019

Datensicherheit Die schöne Welt der vielen Daten - beherrschen wir sie, oder sie uns?

Begehrte Daten: Zu den Angreifern gehören Geheimdienste, Kriminelle, Terroristen oder Wirtschaftsspione - diese nutzen die Technik bis zum Anschlag, um menschliche und technische Schwächen automatisiert auszunutzen

Angela Merkel hat die Bedeutung einer "hohen Datensicherheit" erkannt. Trotzdem predigt sie: "Aber wenn wir uns das Big-Data-Management, wenn wir uns die Verarbeitung großer Datenmengen selber zerstören durch einen falschen rechtlichen Rahmen, dann wird viel Wertschöpfung nicht mehr in Europa stattfinden." Das wäre für Deutschland "von großem Nachteil", so die Kanzlerin.

Es geht nicht nur um die Frage, ob der rechtliche Rahmen beim Thema "Big Data" richtig oder falsch ist, sondern auch darum, ob dieser Rahmen eingehalten wird. Das ist nicht immer der Fall: Im November 2015 hat zum Beispiel Posteo - ein Anbieter elektronischer Briefkästen - den Bundesinnenminister Thomas de Maizière dafür kritisiert, dass Polizeibehörden "unverschlüsselte Ersuchen um Bestandsdaten" an den Anbieter gerichtet hätten. In diesen Anfragen seien persönliche Daten (wie z.B. Namen und Tatvorwürfe) enthalten gewesen, "die seitens der Behörden nicht verschlüsselt" waren. Dies verstoße gegen das Bundesdatenschutzgesetz.

In einem Brief an den Vorsitzenden der SPD-Bundestagsfraktion Thomas Oppermann bestätigt der Innenminister den Tatvorwurf. Das "unverschlüsselte Auskunftsersuchen" stellt für den Minister jedoch die "absolute Ausnahme" dar.

Also haben die Strafverfolgungsbehörden im absoluten Ausnahmefall die Lizenz, den Verdächtigen zu bedrohen. Wer aber hat in der Behörde die Lizenz, einen solchen Ausnahmefall auszurufen? Und wer hat die Regel definiert, die normalerweise angewandt wird?

Sicherheitslücken auch bei der Bundespolizei

Die Bedrohung geht so: Vor Jahren wurden bei der Bundespolizei illegal Daten kopiert - anschließend wurden der Behörde von der eigenen Innenrevision "gravierende Sicherheitslücken" bescheinigt. Zu den Angegriffenen gehören dabei nicht nur Verurteilte und Verdächtige - öffentlich könnten jetzt auch die Namen von Ermittlern, Zeugen und vor allem der Organisationsstruktur der Bundespolizei sein.

Die Prüfer kamen damals zu dem Ergebnis: "Unter Beibehaltung des derzeitigen Netzbetriebes besteht eine erhöhte Wahrscheinlichkeit des unkontrollierten Abflusses von Informationen sowie des Befalls mit Schad-Software." Ein halbes Jahr später berichtete DER SPIEGEL vom erneuten Bruch des Systems.

Die Leistungsfähigkeit der Informationstechnik verdoppelt sich alle 18 Monate - und das bereits seit 50 Jahren. Im kommenden Internet der Dinge (IPv6) verfügt jeder der 80 Millionen Bundesbürger rein rechnerisch über 62,5 Trilliarden (also 62.500.000.000.000.000.000.000) feste IP-Adressen. Wir können das gesamte Leben mit Sensoren und Aktoren pflastern und mit Hilfe von künstlicher Intelligenz auswerten.

Wir sind angreifbar - und die Angreifer haben eine immer bessere IT

Die Frage lautet: Wie gehen die Angegriffenen mit der Bedrohung der Datensicherheit um? Zu diesen Angegriffenen gehören die Entscheider in Politik und Wirtschaft sowie diejenigen, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten. Dabei stützen sie sich auf gesetzliche und/oder vertragliche Grundlagen. Oft sind sie der Ansicht, sie (und ihre jeweilige Klientel) hätten "nichts zu verbergen". Diese schlichte, naive Ansicht macht die gesamte Prozesskette angreifbar.

Zu den Angreifern gehören etwa Geheimdienste, Kriminelle, Terroristen oder Wirtschaftsspione - diese nutzen die Technik bis zum Anschlag, um menschliche und technische Schwächen automatisiert auszunutzen. Sie verfolgen unterschiedliche Ziele - etwa "jede von Menschen generierte Information zu verarbeiten", möglichst viel Geld zu machen oder eben auch maximale Zerstörung anzurichten.

Datenschutz in der EU: Unternehmen müssen mit Sanktionen rechnen

Die kommende EU-Datenschutzverordnung verlangt von Unternehmen und Behörden, für die Sicherheit von personenbezogenen Daten zu sorgen.

Unternehmen, die dabei versagen, müssen mit Sanktionen in Höhe von bis zu 4 Prozent des Jahresumsatzes rechnen. Über die Sanktionen, die den Behörden im Fall eines Versagens auferlegt werden, sollen die Mitgliedsstaaten entscheiden.

Einen möglichen Ausweg zeigt die VdS Schadenverhütung GmbH mit einer Norm "VdS 3473" - diese Norm will die Dienstleistungstochter der Versicherungswirtschaft 3,9 Millionen Unternehmen und Organisationen andienen. Es wird Jahre dauern und pro Institution tausende Euro kosten, diesen Basisschutz umzusetzen. Das reicht aber nicht: Die Angegriffenen benötigen einen rollenspezifischen Computerführerschein. Und bevor Produkte, Dienstleistungen und vor allem "Apps" mit der übrigen Welt vernetzt werden dürfen, sind unabhängige Zertifikate erforderlich, die ihnen Unbedenklichkeit bescheinigen.

Das Ziel: Ein System vernetzter Sicherheit. Das wäre dann tatsächlich "smart".

Der Autor hat das Buch "Vernetzte Gesellschaft. Vernetzte Bedrohungen - Wie uns die künstliche Intelligenz herausfordert" verfasst. Es ist im September im Cividale-Verlag erschienen.

© manager magazin 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung