Es kann keine absolute Sicherheit geben
20. Juli 2013 11:54 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Datensicherheit und Datenschutz bewegen in Deutschland die Gemüter. Eine Offenbarung jagt die nächste. Auf der CompetenceSite haben wir einen Roundtable eröffnet, der sich mit der These "Es kann keine absolute Sicherheit geben – Datenschutz und Datensicherheit in Deutschland: ein De-bakel" auseinandersetzt.
"Die Büchse der Pandora ist geöffnet. Eigentlich wundert man sich, dass die Kehrseite der Medaille jetzt erst durch den Whistleblower Snowden deutlich wird. In der Ära der "Web-2.0-Euphorie" haben wir blauäugig daran geglaubt, dass das "Always online", "Social Media", "Information at your Fingertips", der "Google Suchschlitz" nur positive Effekte haben, den Wissensaustausch fördern und zu einer globalen Informationsgesellschaft führen. Das Ideal ist zerplatzt mit dem Einschlagen von Bomben wie #Tempora, #Prism und anderen.
Schon vorher musste man sich mühsam gegen Angriffe wie #ACTA wehren. Das geschah aber an der Oberfläche. Nun treten die Bedrohungen aus dem Untergrund der Informationstechnologie hervor: offene Flanken über USB-Sticks, Abruf von E-Mails aus dem Unternehmensnetz, Zugriff auf Dokumenten-Repositiories über Tablets, unbedacht in öffentlichen Netzwerken gepostete Informationen. Information ist nahezu unbeherrschbar geworden und dass obwohl Unternehmen Millionen einsetzen um ihre Werte zu schützen. Wie schreibt Dr. Kampffmeyer (http://bit.ly/WP-UKff): „Nur wenn man weiß, welche Information man wo hat und welchen Wert sie besitzt, kann man diese Information auch effektiv schützen und nutzen.“
Allerdings ist er der Meinung, dass es keine absolute Datensicherheit geben kann und dass mittels Technik das Problem nicht in den Griff zu bekommen ist. Hier seine Fragen im Competence Site-Roundtable!"
Frage 1 "Wirtschaftsspionage"
Das Ausforschen der Bürger erscheint müßig – Ziele von Prism & Co. sind Politik, Forschung und Wirtschaft. Wie ernst muss die deutsche Forschung und Wirtschaft die Bedrohung durch die Ausforschung fremder Staaten aber auch seitens des Mitbewerbs nehmen? Ist hierdurch bereits die Existenz bedroht? Oder werden die Risiken einfach nur aufgebauscht? Welche Gefahren sind realer – offen Tore in der Technik oder mangelndes Identifizierung der Mitarbeiter mit den Werten des Unternehmens? Gibt es reale Fälle, wo das Abhören bereits zu wirtschaftlichen Einbußen geführt hat und was man getan, damit dies nicht wieder passiert?
Frage 2 "Schweigen"
Warum die Politik schweigt wissen wir (Hilflosigkeit) – aber warum schweigen die Anbieter von Informationstechnologien? Wäre es nicht an der Zeit, sichere Produkte für Kommunikation und Speicherung anzubieten? Welche ECM-Cloud-Angebote können sicher in Deutschland archivieren? Mit welcher Software verschlüsselt man die Kommunikation beim Zugriff auf Unternehmensinformationen? Braucht man eigene abgeschottete Mail-Systeme für interne und Kunden-Kommunikation? Kann man noch auf die Cloud setzen oder muss alles wider doch On-Premise – möglichst ohne offene Verbindung mit dem Internet – umgesetzt werden? Und wie gestaltet man solche sicheren Lösungen kostengünstig?
Frage 3 "Wert"
Bei Information Governance geht es um die Kontrolle, Steuerung und Verwaltung von Information im Unternehmen, aber auch auf öffentlichen Plattformen, wo das Unternehmen mit Informationen präsent ist. Wie differenziert man überhaupt im Unternehmen Information, um Wichtiges und Unwichtiges zu trennen? Kann man dies automatisch tun und wo ist der Mensch weiterhin gefordert? Macht Enterprise Search und Bigdata die Ordnung von Information im Unternehmen überflüssig? Wie kann Information geschützt und kontrolliert werden, wenn sich der Wert der Information über die Zeit ändert?
Frage 4 "Verantwortung"
Bundesinnenminister Friedrich hat einen Offenbarungseid geleistet, als er sagte, die Bürger müssen sich selbst um den Datenschutz mehr bemühen. Ist dies überhaupt von Bürgern und kleinen Unternehmen leistbar, wo selbst Großunternehmen an technische, organisatorische und finanzielle Grenzen stoßen? Wie weit muss der Schutz von Regierung und Behörden für Unternehmen gehen und wo beginnt deren Verantwortung? Muss der Staat mit Gesetzen, Standards, Prüfungen und Empfehlungen für die Sicherheit der Information Sorge tragen, wie er es z.B. mit De-Mail versucht? Sind die Maßnahmen von Politik und Verwaltung adäquat oder hängen sie Jahrzehnte hinter dem technologischen Wandel hinterher? Und wird wirklich das vorangetrieben, was die Unternehmen brauchen und nicht etwa unter dem Etikett "Datensicherheit" Entwicklungen vorangetrieben, die sogar kontraproduktiv sind?
Frage 5 "Bequemlichkeit"
Die moderne ITK hat uns vereinnahmt – Surfen, Mobile, Ubiquituous, Tablets, Video-Conferencing, einfache Suche, etc. – und alles mit intuitiven Oberflächen. Gehen die Sicherheitsaspekte dabei unter? Unterlaufen USB, ByoD und ByoNetwork, Browser über ungeschützte Leitung, Sharing mittels Dropbox und Co., automatische Synchronisation mit dem Smartphone und die vielen anderen Gadgets unsere mühsam errichteten Sicherheitsarchitekturen? Könnte man organisatorisch ohne vielen technischen Aufwand mit einfachen Mitteln besser dastehen? Werden vorhandene Techniken nicht oder nicht effektiv genug eingesetzt? Fehlt ein Bewußtsein für die mögliche Bedrohung bei den Mitarbeitern? Ist der Preis für die Bequemlichkeit die totale Ausforschung? Wird die nächste Stufe, die Manipulation der Information und die Abhängigkeit von Verfügbarkeit und Richtigkeit der Information noch zu sehr unterschätzt?
Frage 6 "De-bakel"
Die USA haben andere Gesetzte und eine andere Auffassung zum Thema "Datenschutz" als wir in Deutschland. Ist die Aufregung um #Prism und #Tempora nur ein deutsches Problem? Sehen wir den Datenschutz zu eng? Sollte man bei den Planungen zum europäischen Datenschutzgesetz legerer a la USA oder strenger a la Deutschland agieren? Werden die Möglichkeiten der Algorithmen, von BigData Analytics überschätzt? Was muss man tun, um das Thema über den Bundestagswahlkampf hinaus nachhaltig zu treiben, damit Gefühl und Sicherheitsstandards wieder im Einklang, in der "Merkelschen Balance" sind? Oder liegt das Problem darin, dass zwar alle über die Informationsgesellschaft sprechen, wir aber dort noch längst nicht angekommen sind?
Antworten und Kommentare willkommen! Zum Roundtable bei der CompetenceSite: http://bit.ly/CS-Datenschutz
Datenschutz: die Büchse der Pandora steht weit offen
Roundtable auf der Competence-Site
"Es kann keine absolute Sicherheit geben" http://bit.ly/CS-Datenschutz
Die sechs Fragen:
1 #Wirtschaftsspionage http://bit.ly/CS-Spionage
2 #Schweigen http://bit.ly/CS-Schweigen
3 #Wert http://bit.ly/CS-Wert
4 #Verantwortung http://bit.ly/CS-Verantwortung
5 #Bequemlichkeit http://bit.ly/CS-bequem
6 #de-bakel http://bit.ly/CS-debakel
Inzwischen trudeln die ersten Antworten ein, zum Beispiel von:
Martin Bartonitz zu "Verschlüsseln" http://bit.ly/CS-Verschluesseln
Roman Lustig zu "Europäische Sicht" http://bit.ly/RL-PRISM
…. und noch ein Kommentar im SPIEGEL ONLINE Forum: "was kann mann überhaupt tun?" http://bit.ly/Kff-SPON