Ohne Transparenz keine Sicherheit im Web
Im Rahmen der Dell-Diskussionsreihe "Meet the Experts" haben am 29. November vier renommierte Experten aus Industrie und Wissenschaft das Thema IT-Sicherheit im Spannungsfeld der Politik diskutiert. Trotz unterschiedlicher Auffassung in einzelnen Fragen waren sich die Teilnehmer der Runde einig, dass es Sicherheit im Web nur auf Basis von Transparenz und Vertrauen geben kann.
Auf der Dell-Veranstaltung "Meet the Experts" in München diskutierten vier Experten über IT-Sicherheit im Spannungsfeld der Politik, ein Thema, das im Zusammenhang mit offenen Rechtsfragen beim Cloud Computing, aber auch staatlichen Maßnahmen zu Terrorismusbekämpfung oder Vorratsdatenspeicherung im Fokus der öffentlichen Aufmerksamkeit steht. Die Teilnehmer der Diskussionsrunde waren:
* Dr. Paolo Balboni, geschäftsführender Direktor der European Privacy Association, Brüssel
* Bernd Carstensen, stellvertretender Bundesvorsitzender und Pressesprecher des Bundes deutscher Kriminalbeamter, Berlin
* Professor Dr. Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheits- und Internetrecht der Universität Passau
* Andy Müller-Maguhn, Mitglied im Vorstand des Chaos Computer Clubs, Hamburg
Professor Heckmann wies eingangs darauf hin, dass die überwiegende Zahl der Web-Nutzer beim Schutz ihrer Daten von der Technik einfach überfordert sei: "Wer nicht versteht, muss vertrauen." Dieses Vertrauen sei in letzter Zeit jedoch stark in Mitleidenschaft gezogen worden, sowohl durch Unternehmen aber auch durch staatliche Stellen. Nötig sei ein besseres Verständnis der im Web ablaufenden Prozesse, und dafür müsse man sich der Anstrengung des Lernens unterziehen. "Anders lassen sich die Vorteile der digitalen Welt nicht nutzen, ohne Schaden zu nehmen", so Professor Heckmann. Dennoch kämen IT-Laien nicht ohne vertrauenswürdige Instanzen aus – wer auch immer letzten Endes diese Aufgabe übernehmen werde.
Andy Müller-Maguhn erinnerte daran, dass die Möglichkeiten für einen Missbrauch in der digitalen Welt um ein Vielfaches höher seien als in der analogen, weil ganz andere Möglichkeiten für systematische Abfragen und das Herstellen von Verbindungen zwischen einzelnen Daten bestünden. Vertrauen kann nach seiner Meinung nicht dadurch entstehen, dass eine vertrauenswürdige Instanz eingeschaltet ist, sondern erst durch den Aufbau transparenter Prozesse, was sowohl für Unternehmen als auch für den Staat gelte. Der Bürger müsse Einblicke haben, was mit seinen Daten geschehe. Nur auf dieser Basis könne von informationeller Selbstbestimmung geredet werden, und der Staat habe hier eine Vorbildfunktion einzunehmen.
Dr. Balboni stimmte der Bedeutung des Vertrauens bei der Sicherung der Privatsphäre grundsätzlich zu. Er vertrat dabei in einem stärker marktorientierten Ansatz die Auffassung, dass dafür keine zusätzlichen Regularien benötigt werden. Seiner Meinung nach wird die Sicherung der Privatsphäre auf Dauer zu einem Wettbewerbsfaktor werden. Wenn die Konsumenten entsprechend sensibilisiert seien, würden diejenigen Unternehmen im Vorteil sein, die Privacy auch in ihrem Geschäftsmodell berücksichtigten.
Bernd Carstensen forderte, es müsse in den wenigen Fällen, in denen eine Strafverfolgung auch im Web nötig sei, auch technische Möglichkeiten für die Behörden geben, die für eine Strafverfolgung nötigen Informationen zu erhalten.
Professor Heckmann zeigte sich skeptisch hinsichtlich der Möglichkeiten, Unternehmen dazu zu verpflichten, sichere Systeme zur implementieren. Man könne zwar die Produkthaftung entsprechend definieren, die Problematik würde sich dann aber auf andere Ebenen verschieben, beispielsweise auf die Nachweisbarkeit von Fehlern. Im Übrigen seien IT-Systeme sehr komplex und die Innovationszyklen auf Grund des Marktdrucks sehr kurz. Der Ruf nach zusätzlichen Regulationsmechanismen geht nach seiner Meinung daher an der Sache vorbei. Wichtig sei vielmehr, dass die Akteure in den komplexen Umgebungen mit ausreichendem Know-how ausgestattet sind. Darüber hinaus könne man mit flankierenden Maßnahmen "Stellschrauben" verändern und beispielsweise in Sozialen Netzen Standard-Einstellungen vorgeben, die die Privatsphäre besser berücksichtigen.
Ein zentrales Thema des Gesprächs war natürlich auch das Cloud Computing, über das in den letzten Monaten in Verbindung mit IT-Sicherheit in der Öffentlichkeit viel diskutiert worden ist.
Dr. Balboni war der Ansicht, das Problem sei nicht, dass es hier unzureichende rechtliche Vorgaben gebe. Es sei vielmehr klar definiert, dass die Vorschriften des Landes gelten, in dem der jeweilige Auftraggeber ansässig sei. Die Problematik bestünde vielmehr darin, dass es in 27 EU-Ländern auch 27 unterschiedliche Vorschriften bezüglich des Datenschutzes gebe. Hier seien eine Harmonisierung und ein Cloud-Framework auf europäischer Basis dringend notwendig, was auch einen Rahmen für die Durchführung von verlässlichen Audits schaffen könne. Dr. Balboni ergänzte, dass es eine Illusion sei, zu meinen, dass Cloud-Kunden eigene Vorstellungen oder Anforderungen hinsichtlich IT-Sicherheit in Vertragsverhandlungen gegenüber Providern durchsetzen könnten. Dies sei im Geschäftsmodell des Cloud Computing, das auf standardisieren Prozessen aufbaue, nicht vorgesehen.
Auch Müller-Maguhn betonte, dass die Anbieter von Cloud Computing den jeweiligen Gesetzen ihrer Länder unterliegen; er rechnet daher in Zukunft mit strittigen Fällen wegen der in den USA und Europa unterschiedlichen Vorstellungen über die Handhabung von Daten. Er bezweifelte allerdings auf Grund des Kostenaspekts ebenfalls, dass es möglich sei, Sicherheitsfragen des Cloud Computing per SLAs zwischen Cloud-Anbietern und -Kunden individuell zu regeln. Es wird nach seiner Auffassung aber zu entsprechenden Differenzierungen der Anbieter kommen, sprich also Anbieter geben, die über Zertifizierungen zum Datenschutz verfügen und solche, bei denen ein hohes Schutzniveau einfach nicht erwartet werden kann.
Carstensen betonte, dass die Sicherheitsbehörden sich für die in der Cloud gespeicherten Informationen grundsätzlich nicht interessieren würden, und dass auch im Verdachtsfall die Durchsuchung eines IT-Systems nur gezielt erfolgen dürfe, beispielsweise um konkretes Beweismaterial aufzuspüren. Die Ergebnisse von Online-Durchsuchungen könnten in Hauptverhandlungen ohnehin nur dann verwendet werden, wenn ihre Erhebung in Übereinstimmung mit geltendem Recht erfolgt sei. Der Kriminalbeamte räumte in diesem Zusammenhang ein, dass es ein Fehler gewesen sei, überhaupt auf die umstrittene Software der Firma Digitask zurückzugreifen, die unzulässige Maßnahmen wie das Anfertigen von Screenshots und das Steuern einer Webcam ermöglicht hatte. Hier müsse ein Umdenken erfolgen, das aber bereits eingeleitet sei, indem einige staatliche Stellen dazu übergingen, derart kritische Software in eigener Regie zu entwickeln.
Professor Heckmann legte abschließend noch Wert auf eine grundsätzliche Feststellung: "Das Internet ist gut!" Es bietet nach seiner Einschätzung trotz aller Risiken auf unterschiedlichen Feldern eine Fülle von Chancen und Möglichkeiten, gerade auch im Cloud-Computing, das eine interessante Option für Unternehmen sei. Wichtig sei dabei, dass die Beteiligten gestaltend tätig würden. Es gäbe auch schon eine Reihe von Aktivitäten, die sich um eine entsprechende Weiterentwicklung von Cloud-Computing und Recht bemühten, beispielsweise unter dem Stichwort "Trusted Cloud". Zu Pessimismus besteht nach Heckmanns Auffassung daher kein Anlass.
Dell auf Twitter: twitter.com/#!/DellGmbH
Pressekontakt:
Michael Rufer
Dell
+49 69 9792 3271
Auf der Dell-Veranstaltung "Meet the Experts" in München diskutierten vier Experten über IT-Sicherheit im Spannungsfeld der Politik, ein Thema, das im Zusammenhang mit offenen Rechtsfragen beim Cloud Computing, aber auch staatlichen Maßnahmen zu Terrorismusbekämpfung oder Vorratsdatenspeicherung im Fokus der öffentlichen Aufmerksamkeit steht. Die Teilnehmer der Diskussionsrunde waren:
* Dr. Paolo Balboni, geschäftsführender Direktor der European Privacy Association, Brüssel
* Bernd Carstensen, stellvertretender Bundesvorsitzender und Pressesprecher des Bundes deutscher Kriminalbeamter, Berlin
* Professor Dr. Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheits- und Internetrecht der Universität Passau
* Andy Müller-Maguhn, Mitglied im Vorstand des Chaos Computer Clubs, Hamburg
Professor Heckmann wies eingangs darauf hin, dass die überwiegende Zahl der Web-Nutzer beim Schutz ihrer Daten von der Technik einfach überfordert sei: "Wer nicht versteht, muss vertrauen." Dieses Vertrauen sei in letzter Zeit jedoch stark in Mitleidenschaft gezogen worden, sowohl durch Unternehmen aber auch durch staatliche Stellen. Nötig sei ein besseres Verständnis der im Web ablaufenden Prozesse, und dafür müsse man sich der Anstrengung des Lernens unterziehen. "Anders lassen sich die Vorteile der digitalen Welt nicht nutzen, ohne Schaden zu nehmen", so Professor Heckmann. Dennoch kämen IT-Laien nicht ohne vertrauenswürdige Instanzen aus – wer auch immer letzten Endes diese Aufgabe übernehmen werde.
Andy Müller-Maguhn erinnerte daran, dass die Möglichkeiten für einen Missbrauch in der digitalen Welt um ein Vielfaches höher seien als in der analogen, weil ganz andere Möglichkeiten für systematische Abfragen und das Herstellen von Verbindungen zwischen einzelnen Daten bestünden. Vertrauen kann nach seiner Meinung nicht dadurch entstehen, dass eine vertrauenswürdige Instanz eingeschaltet ist, sondern erst durch den Aufbau transparenter Prozesse, was sowohl für Unternehmen als auch für den Staat gelte. Der Bürger müsse Einblicke haben, was mit seinen Daten geschehe. Nur auf dieser Basis könne von informationeller Selbstbestimmung geredet werden, und der Staat habe hier eine Vorbildfunktion einzunehmen.
Dr. Balboni stimmte der Bedeutung des Vertrauens bei der Sicherung der Privatsphäre grundsätzlich zu. Er vertrat dabei in einem stärker marktorientierten Ansatz die Auffassung, dass dafür keine zusätzlichen Regularien benötigt werden. Seiner Meinung nach wird die Sicherung der Privatsphäre auf Dauer zu einem Wettbewerbsfaktor werden. Wenn die Konsumenten entsprechend sensibilisiert seien, würden diejenigen Unternehmen im Vorteil sein, die Privacy auch in ihrem Geschäftsmodell berücksichtigten.
Bernd Carstensen forderte, es müsse in den wenigen Fällen, in denen eine Strafverfolgung auch im Web nötig sei, auch technische Möglichkeiten für die Behörden geben, die für eine Strafverfolgung nötigen Informationen zu erhalten.
Professor Heckmann zeigte sich skeptisch hinsichtlich der Möglichkeiten, Unternehmen dazu zu verpflichten, sichere Systeme zur implementieren. Man könne zwar die Produkthaftung entsprechend definieren, die Problematik würde sich dann aber auf andere Ebenen verschieben, beispielsweise auf die Nachweisbarkeit von Fehlern. Im Übrigen seien IT-Systeme sehr komplex und die Innovationszyklen auf Grund des Marktdrucks sehr kurz. Der Ruf nach zusätzlichen Regulationsmechanismen geht nach seiner Meinung daher an der Sache vorbei. Wichtig sei vielmehr, dass die Akteure in den komplexen Umgebungen mit ausreichendem Know-how ausgestattet sind. Darüber hinaus könne man mit flankierenden Maßnahmen "Stellschrauben" verändern und beispielsweise in Sozialen Netzen Standard-Einstellungen vorgeben, die die Privatsphäre besser berücksichtigen.
Ein zentrales Thema des Gesprächs war natürlich auch das Cloud Computing, über das in den letzten Monaten in Verbindung mit IT-Sicherheit in der Öffentlichkeit viel diskutiert worden ist.
Dr. Balboni war der Ansicht, das Problem sei nicht, dass es hier unzureichende rechtliche Vorgaben gebe. Es sei vielmehr klar definiert, dass die Vorschriften des Landes gelten, in dem der jeweilige Auftraggeber ansässig sei. Die Problematik bestünde vielmehr darin, dass es in 27 EU-Ländern auch 27 unterschiedliche Vorschriften bezüglich des Datenschutzes gebe. Hier seien eine Harmonisierung und ein Cloud-Framework auf europäischer Basis dringend notwendig, was auch einen Rahmen für die Durchführung von verlässlichen Audits schaffen könne. Dr. Balboni ergänzte, dass es eine Illusion sei, zu meinen, dass Cloud-Kunden eigene Vorstellungen oder Anforderungen hinsichtlich IT-Sicherheit in Vertragsverhandlungen gegenüber Providern durchsetzen könnten. Dies sei im Geschäftsmodell des Cloud Computing, das auf standardisieren Prozessen aufbaue, nicht vorgesehen.
Auch Müller-Maguhn betonte, dass die Anbieter von Cloud Computing den jeweiligen Gesetzen ihrer Länder unterliegen; er rechnet daher in Zukunft mit strittigen Fällen wegen der in den USA und Europa unterschiedlichen Vorstellungen über die Handhabung von Daten. Er bezweifelte allerdings auf Grund des Kostenaspekts ebenfalls, dass es möglich sei, Sicherheitsfragen des Cloud Computing per SLAs zwischen Cloud-Anbietern und -Kunden individuell zu regeln. Es wird nach seiner Auffassung aber zu entsprechenden Differenzierungen der Anbieter kommen, sprich also Anbieter geben, die über Zertifizierungen zum Datenschutz verfügen und solche, bei denen ein hohes Schutzniveau einfach nicht erwartet werden kann.
Carstensen betonte, dass die Sicherheitsbehörden sich für die in der Cloud gespeicherten Informationen grundsätzlich nicht interessieren würden, und dass auch im Verdachtsfall die Durchsuchung eines IT-Systems nur gezielt erfolgen dürfe, beispielsweise um konkretes Beweismaterial aufzuspüren. Die Ergebnisse von Online-Durchsuchungen könnten in Hauptverhandlungen ohnehin nur dann verwendet werden, wenn ihre Erhebung in Übereinstimmung mit geltendem Recht erfolgt sei. Der Kriminalbeamte räumte in diesem Zusammenhang ein, dass es ein Fehler gewesen sei, überhaupt auf die umstrittene Software der Firma Digitask zurückzugreifen, die unzulässige Maßnahmen wie das Anfertigen von Screenshots und das Steuern einer Webcam ermöglicht hatte. Hier müsse ein Umdenken erfolgen, das aber bereits eingeleitet sei, indem einige staatliche Stellen dazu übergingen, derart kritische Software in eigener Regie zu entwickeln.
Professor Heckmann legte abschließend noch Wert auf eine grundsätzliche Feststellung: "Das Internet ist gut!" Es bietet nach seiner Einschätzung trotz aller Risiken auf unterschiedlichen Feldern eine Fülle von Chancen und Möglichkeiten, gerade auch im Cloud-Computing, das eine interessante Option für Unternehmen sei. Wichtig sei dabei, dass die Beteiligten gestaltend tätig würden. Es gäbe auch schon eine Reihe von Aktivitäten, die sich um eine entsprechende Weiterentwicklung von Cloud-Computing und Recht bemühten, beispielsweise unter dem Stichwort "Trusted Cloud". Zu Pessimismus besteht nach Heckmanns Auffassung daher kein Anlass.
Dell auf Twitter: twitter.com/#!/DellGmbH
Pressekontakt:
Michael Rufer
Dell
+49 69 9792 3271