Vertrauenswürdigkeit erfordert Transparenz
Sommerakademie 2015: Ohne Vertrauenswürdigkeit keine Informationsgesellschaft
Ist das IT-Sicherheitsgesetz, das Ende Juli 2015 in Kraft trat, die Lösung für ausreichende Vertrauenswürdigkeit und eine erhöhte Sicherheit der IT-Infrastrukturen? Leider nein, folgerte der Lehrbeauftragte an der FH Brandenburg Ingo Ruhmann aus der Analyse des Gesetzes
(16.09.15) - Angriffe auf informationstechnische (IT) Systeme gehören zur Tagesordnung. Wer seinen Rechner nicht schützt, kann schnell Probleme mit Viren und Trojanern bekommen. Dass PCs und Smartphones nicht besonders sicher sind, haben die meisten schon einmal gehört. Aber wie sieht es mit den IT-Infrastrukturen aus, also den Systemen und Verfahren, die als Rückgrat der digitalen Welt und als Fundament für vielfältige Anwendung dienen? Wie vertrauenswürdig sind diese Infrastrukturen, beispielsweise für E-Mail, E-Commerce oder elektronische Angebote der Verwaltung angesichts der Bedrohungen durch Cyber-Kriminelle und der Ausspähung und Manipulation durch Geheimdienste? Und wie lässt sich mehr Vertrauenswürdigkeit erreichen?
Zu diesen Themen diskutierten Experten bei der Sommerakademie 2015 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) unter dem Titel "Vertrauenswürdige IT-Infrastruktur – ein (un?)erreichbares Datenschutzziel" mit mehr als 450 Teilnehmenden, welche praktischen Vorkehrungen und gesetzlichen Regelungen nötig sind, um ein ausreichendes Niveau an Vertrauenswürdigkeit in IT-Infrastrukturen zu erreichen. Dabei geht es insbesondere um Datenschutzfragen, die bei einer rein technischen Herangehensweise auf Informationssicherheit häufig aus dem Blick geraten.
Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)
Die Leiterin des ULD, Marit Hansen, begrüßte das fachkundige Publikum und führte in das Thema ein: Nach ihrer Aussage steht es schlecht um die Vertrauenswürdigkeit heutiger IT-Infrastrukturen. Sie stellte dar, wie verwundbar die Informationstechnik ist, und analysierte die Ursachen: zu hohe Wachstumsgeschwindigkeit der Informatik, die generelle Problematik der Integration von fremdkontrollierten Komponenten, in Teilen das Motto "Quick & Dirty" statt solider Planung in der IT-Landschaft, die Machtverhältnisse an neuralgischen Schaltstellen der Informationsgesellschaft sowie der Markt für Unsicherheit, z. B. wenn Informationen oder Programme zum Ausnutzen von Sicherheitslücken gehandelt werden. Das Fehlen von Sicherheitsgarantien kennen wir zwar in unserem täglichen Leben auch, aber das Schadenspotenzial für unsere Gesellschaft – etwa bei geschickter Manipulation von IT-Infrastrukturen – ist enorm. Marit Hansen skizzierte Lösungsansätze, um zu mehr Vertrauenswürdigkeit zu kommen, insbesondere durch eingebauten Datenschutz in IT-Infrastrukturen, ein Maximum an Transparenz und das Vermeiden von unkontrollierbaren Abhängigkeiten.
Ist das IT-Sicherheitsgesetz, das Ende Juli 2015 in Kraft trat, die Lösung für ausreichende Vertrauenswürdigkeit und eine erhöhte Sicherheit der IT-Infrastrukturen? Leider nein, folgerte der Lehrbeauftragte an der FH Brandenburg Ingo Ruhmann aus der Analyse des Gesetzes, der seinen Vortrag zusammen mit Ute Bernhardt, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V., vorbereitet hatte. Der Vortragende zeigte anhand von Fragestellungen aus der Praxis Lücken im IT-Sicherheitsgesetz auf und wies auf neu geschaffene Rechtsprobleme hin. Er verdeutlichte, in welchen Bereichen das Gesetz noch Spielraum für Verbesserungen lässt. Dabei beschränkte sich der Informatik-Spezialist keinesfalls auf die Kritik, sondern machte einen Vorschlag für eine datenschutzkonforme und praxisgerechte Alternativlösung, die im Nachmittagsprogramm genauer vorgestellt wird. Zum Nachlesen wird die Ausarbeitung im Anschluss an die Sommerakademie auf der Webseite des ULD abrufbar sein.
Ammar Alkassar, Vorstandsvorsitzender der Sirrix AG, kennt sich sowohl in der wissenschaftlichen Diskussion zu IT-Sicherheit als auch mit dem Bedarf an vertrauenswürdigen Systemen aus – schließlich ist dies das Brot-und-Butter-Geschäft seiner Firma. Ohne IT-Sicherheit würden Geschäftsmodelle für Zukunftstechnologien nicht funktionieren, z. B. im Bereich "Internet of Things" mit einer allgegenwärtigen Datenverarbeitung und Vernetzung von Sensoren. Jedoch reichten traditionelle Methoden zum Schutz gegen Angriffe nicht aus, sondern ein proaktives Vorgehen mit eingebauter Sicherheit – Security by Design – sei notwendig. Herr Alkassar stellte als hoffnungsvolle Lösungsmöglichkeiten die technische Trennung kritischer Bereiche und die Informationsflusskontrolle über den gesamten Lebenszyklus der Daten vor. Er konstatierte, dass eine große Abhängigkeit heutiger IT-Systeme von Monopolisten bestehe, die sich nicht den deutschen oder europäischen Werten verpflichtet sähen. Abhilfe könnten Konzepte wie auf den wirklichen Schutzbedarf zugeschnittene Wirkungsklassen sowie das Austauschen kritischer Komponenten durch sichere Eigenentwicklungen bieten, die bereits zu vielfältigen Bereichen Lösungen zur Isolation gegen sicherheitsrelevante Auswirkungen bereithielten. Eine wichtige Rolle spiele dabei die öffentliche Verwaltung, die bei der Beschaffung mit positivem Beispiel vorangehen müsse.
Vertrauenswürdigkeit erfordert ein ausreichendes Maß an Transparenz, wie Prof. Simone Fischer-Hübner von der schwedischen Universität Karlstad darlegte. Sie forscht an Möglichkeiten, den Nutzern verständlicher zu machen, was mit ihren Daten geschieht, worin Risiken bestehen und wie sie darauf reagieren können. Ihr Team entwickelt zu diesem Zweck besondere Transparenz-Tools. Als konkretes Beispiel stellte die Professorin in ihrem Vortrag eine Software vor, mit der sich für Internet-Angebote nachvollziehen lässt, welchem Anbieter man welche seiner persönlichen Daten gegeben hat. Dabei handelt es sich um eine Weiterentwicklung des Werkzeugs "Data Track" aus dem von der EU geförderten Projekt "PrimeLife", an dem auch das ULD beteiligt war. Eine solche Datenschutztechnik frisch aus dem Labor könnte bald für alle einsetzbar sein. Für die volle Funktionalität wäre allerdings die Kooperation der Diensteanbieter nötig.
Dr. Ole Schröder, Parlamentarischer Staatssekretär beim Bundesminister des Innern, betonte in seinem Vortrag die Schutz- und Gewährleistungspflicht des Staates, die sich auch auf die IT-Infrastrukturen erstrecke. Mit dem IT-Sicherheitsgesetz sei ein Ordnungsrahmen geschaffen worden, der Betreiber Kritischer Infrastrukturen zu einer Kooperation mit dem Staat ermutigen solle. Dr. Schröder sieht das IT-Sicherheitsgesetz als wichtigen und richtigen Schritt für mehr Datensicherheit, auch als Blaupause für die Diskussion auf europäischer Ebene. Insbesondere solle Deutschland Verschlüsselungsstandort Nummer 1 werden – seit kurzem seien nutzerfreundliche Ende-zu-Ende-Verschlüsselungskomponenten in De-Mail integriert, um innerhalb Deutschlands und künftig auch grenzüberschreitend kommunizieren zu können. Die Bundesregierung könne nicht tatenlos zusehen, wenn Kommunikation von Drittstaaten kontrolliert werde – wenn erforderlich, müssten Betriebssysteme und Kommunikationskomponenten durch eigene IT-Sicherheitskomponenten ergänzt werden. Als weiteren Schritt für eine erhöhte Sicherheit führte Dr. Schröder die eID-Funktion des elektronischen Personalausweises an. "IT-Sicherheit made in Germany" biete einen Standortvorteil: Ziel sei die Entwicklung, Verfügbarkeit und Nutzung sicherer und vertrauenswürdiger IT-Produkte und Dienstleistungen sowie die Stärkung der IKT-Sicherheitswirtschaft in Deutschland und im europäischen Verbund. Dr. Schröder endete mit dem Angebot eines kontroversen und konstruktiven Dialogs zur digitalen Souveränität.
Am Nachmittag verteilen sich die Teilnehmenden auf fünf Räume, in denen jeweils zwei "Infobörsen" angeboten werden. Hier besteht die Möglichkeit, sich zusammen mit den Vortragenden vertiefter mit den folgenden Themen zu beschäftigen:
• Sicher verschlüsselt mit GnuPG
• Instrumente des BSI für vertrauenswürdige Infrastrukturen
• Datenschutz-Folgenabschätzung – ein Baustein für Vertrauenswürdigkeit
• Das IT-Sicherheitsgesetz und die Praxis: Ziele und Wirkung
• Tue Gutes und rede darüber – Zertifizierungen für mehr Vertrauen in IT?
• Vertrauensfrage: Warum mobile IT in Behörden und Unternehmen so problematisch ist
• Elektronische Gesundheitskarte (eGK) und Telematik-Infrastruktur – eine Baustelle für sensibelste Datenverarbeitung
• Datenschutzrechtliche Anforderungen an schulische IT-Infrastrukturen
• Telekommunikations-Vorratsdatenspeicherung?!
• Vertrauensinfrastrukturen: Gütesiegel für Sicherheit und Privatheit
(ULD: ra)
ULD: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>