digitalHUB-Fokusgruppe Cybersecurity veröffentlicht Konzeptpapier zur IT-Sicherheit bei „Corona-Apps“

Social Distance Scanner – Chancen und Risiken der Tracking-Apps

Aachen, 20. April 2020: Die Fokusgruppe Cybersecurity des digitalHUB Aachen e.V., ein Zusammenschluss von IT-Sicherheitsspezialisten aus Unternehmen und Organisationen der Region, hat heute im Rahmen einer Pressekonferenz in der digitalCHURCH in Aachen ihr Konzept vorgestellt, in welchem sie Ansätze für Tracking-Apps zur Eindämmung von COVID-19 diskutiert und bewertet. In ausgewählter Runde und unter Beachtung der aktuell geltenden Abstandsregelungen stellten Dr. Walter Plesnik, Thomas Käfer und Prof. Dr. Marko Schuba aus der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. der Presse ihre Ausarbeitungen vor. Eingeleitet wurde die Veranstaltung von Dr. Oliver Grün, Vorstandsvorsitzender des digitalHUB Aachen e.V. und Präsident des Bundesverbandes IT-Mittelstand e.V.: „Wir freuen uns, dass sich die Fokusgruppe Cybersecurity aus unserem digitalHUB Aachen mit ihrem Diskussionspapier in den aktuellen Diskurs um die Corona-Apps einbringt“, sagt Dr. Oliver Grün. „Das Beispiel der Arbeitsgruppe spiegelt wider, wie interdisziplinär wir im digitalHUB Aachen mit über 300 digitalaffinen Mitgliedsunternehmen ehrenamtlich zusammenarbeiten.“

Tracking-Apps als Teil der Exitstrategie aus dem „Shutdown“

Der Einsatz von Apps zum Nachvollziehen von Infektionsketten findet aktuell trotz datenschutzrechtlicher Bedenken immer mehr Befürworter aus Politik und Wissenschaft. Er wird vor allem als vielversprechende Möglichkeit gesehen, die Ausbreitung der COVID-19-Pandemie bei gleichzeitiger Lockerung der derzeit geltenden Maßnahmen wie Ausgangsbeschränkungen und Kontaktsperren einzudämmen. Die Tracking-Apps stellen die physische Nähe von Personen untereinander fest, werten Infektionswege aus und informieren Kontaktpersonen von Infizierten ohne zeitliche Verzögerung. Durch die schnelle Isolation von Corona-positiven Personen kann eine weitere Ausbreitung des Virus begrenzt werden. Ein sogenannter „Shutdown“, wie wir ihn zurzeit erleben, könnte damit verhindert bzw. bei gleichzeitig breitem Einsatz von Testverfahren wieder beendet werden.

Umgang mit datenschutzrechtlichen Bedenken

„So vielversprechend die Tracking-Verfahren zur Eindämmung von Pandemien sind, so problematisch sind sie auch aus rechtsstaatlicher Sicht, da sie tief in das Recht auf Privatsphäre eingreifen“, sagt Dr. Walter Plesnik, Sprecher der Fokusgruppe Cybersecurity im digitalHUB. „Um dem Missbrauch der flächendeckenden Überwachung von Bürgern vorzubeugen, ist es aus Sicht unserer Fokusgruppe absolut essenziell, dass beim Einsatz solcher Technologien Privatsphäre, Datenschutz und IT-Sicherheit bei der App-Entwicklung von Beginn an und im Sinne der Benutzer berücksichtigt werden“, fährt er fort.

Realisierung erfordert hohes Maß an Funktionalität und Sicherheit

„Mit unserem Diskussionspapier möchten wir die App-Entwicklungen zum Thema Social Tracking im Gesundheitswesen beratend unterstützen und einen Beitrag zu einer kurzfristigen Umsetzung einer solchen App leisten. Auch wenn derzeit schon erste Versionen existieren, bedarf es einer stetigen Weiterentwicklung der Apps, um Anforderungen an Funktionalität und Sicherheit gerecht zu werden“, sagt Marko Schuba aus der Fokusgruppe Cybersecurity. „Daher haben wir in einem kleinen Experten-Team selbst einen Vorschlag für die Umsetzung einer derartigen App entwickelt, der die technischen, organisatorischen und rechtlichen Aspekte diskutiert und berücksichtigt. Wir betrachten IT-Sicherheit und Datenschutz als Enabler für eine Lösung und nicht als Einschränkung. Erst der Einsatz von anerkannten und etablierten Techniken der IT-Security wie Verschlüsselung, Hashing und Anonymisierung, machen die Lösung überhaupt möglich, hebt Thomas Käfer, ebenfalls Mitglied der Fokusgruppe hervor.

Weitere Statements zum Diskussionspapier:
„Die Region Aachen verfügt über eine ausgeprägte IT-Kompetenz und liegt mit rund 11.500 Beschäftigten in der Informations- und Telekommunikationsbranche über dem NRW-Durchschnitt. Dieses enorme Potenzial zu nutzen, ist somit folgerichtig“, sagt Michael F. Bayer, Hauptgeschäftsführer der Industrie- und Handelskammer (IHK) Aachen und Vorstandsmitglied im digitalHUB Aachen e.V. „Die Gruppe von IT-Experten des digitalHUB Aachen hat ein Konzept entwickelt, wie man diese Apps datenschutz- und IT-sicherheitskonform gestalten kann, damit möglichst viele Menschen diesen Apps vertrauen und daran teilnehmen. Ich freue mich, dass die Technologieregion Aachen zu diesem sehr aktuellen Thema einen wertvollen Beitrag leisten kann“, lässt Marcel Philipp, Oberbürgermeister der Stadt Aachen, in einem Pressestatement mitteilen.

Das vollständige Konzeptpapier „Social Distance Scanner – Mit Digitalisierung und IT-Sicherheit gegen „Corona“ finden Sie hier.

Der digitalHUB Aachen e.V.

Der Verein digitalHUB Aachen (www.aachen.digital) setzt sich für die Digitalisierung der Wirtschaft und der öffentlichen Hand der Region Aachen ein. Mitglieder sind Mittelstand, Industrie, Startups und Institutionen, welche die Ziele des Vereins unterstützen. Das Digitalisierungszentrum des digitalHUB Aachen bringt Startups und IT-Mittelstand (digitale „Enabler“) mit klassischem Mittelstand und Industrie als Anwender (digitale „User“) in der digitalCHURCH zusammen, um gemeinsam neue digitale Geschäftsmodelle zu entwickeln und zu realisieren. Unterstützt wird dies durch Region und Wissenschaft („Supporter“). So wird euregional eine „Aachen Area“ als digitales Innovationsland geschaffen. Das Digitalisierungszentrum des digitalHUB Aachen ist Teil der Initiative „Digitale Wirtschaft NRW (DWNRW)“ und eines von sechs geförderten Zentren für die digitale Wirtschaft in NRW.

Die Fokusgruppe Cybersecurity im digitalHUB Aachen e.V.

Die Fokusgruppe besteht aus ca. 30 mittelständischen Unternehmen aus dem Raum Aachen, die sich direkt und indirekt mit den Themen der IT-Sicherheit und des Datenschutzes beschäftigen. Ein Kernteam von zehn Personen aus dieser Gruppe trifft sich regelmäßig, um aktuelle Themen zu diskutieren und Workshops zu organisieren. Durch die Teilnahme an Symposien und Vortragsveranstaltungen sowie durch Initiativen wie die Beratung bei der Entwicklung von Apps auf fachlicher Ebene, trägt die Fokusgruppe dazu bei, das Thema Cybersecurity zu einem Leuchtturmprojekt des digitalHUB werden zu lassen. Die Mitglieder der Gruppe arbeiten ehrenamtlich.

Pressekontakt:
digitalHUB Aachen e.V.
Karin Bönig
Jülicher Str. 72a
52070 Aachen
T: +49 241 89 438 526
F: +49 241 89 438 599

Teaserbild: v.l.n.r.: Dr. Oliver Grün, Vorstandsvorsitzender des digitalHUB Aachen e.V. und Präsident des Bundesverbandes IT-Mittelstand e.V.; Dr. Walter Plesnik, Sprecher der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. und Geschäftsführender Gesellschafter des Ing.-Büro Dr. Plesnik GmbH; Prof. Dr. rer. nat. Marko Schuba (FH Aachen), Mitglied der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V.; Thomas Käfer, Inhaber und Geschäftsführer von Käfer IT Systeme e.K. und Mitglied der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. Bildquelle: digitalHUB Aachen e.V.

Da stehen dem IT-Sicherheitsexperten die Haare zu Berge

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Das BSI erklärt laut WDR2, dass das ständige Ändern von Passwörtern die Sicherheit verschlechtert. Das ist nur die halbe Wahrheit. Man sollte schon mal zwischen 1234, 12345 und 123456 wechseln...

... und im Ernst: Passwörter nie zu ändern, wäre genauso schlecht.

Im aktuellen IT Grundschutzkompendium 2020 des BSI verabschiedet sich das BSI von der bisherigen Empfehlung, Passwörter regelmäßig zu ändern: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Richtig ist: Das regelmäßige Ändern von Passwörtern in zu kurz bemessenen Zeitabständen (z.B. jedes Quartal) ist tatsächlich kontraproduktiv, denn User neigen dazu, die Passwörter nur geringfügig abzuändern, damit sie sich diese merken können und produzieren damit meist eine gewisse Systematik (Passwort2019, Passwort2020, Passwort 2021 etc.). Oder sie können sich das neue Passwort nicht merken und kleben es per Haftzettel an den Monitor. Am Ende nervt die Pflicht zum ständigen Wechsel und die Akzeptanz von IT-Sicherheit leidet.

Falsch ist: Passwörter muss man nun gar nicht mehr ändern oder kann sie jahrelang benutzen (wenn sie ausreichend lang und komplex sind) bzw. die Passwortlänge von mindestens 8 Zeichen wird nicht mehr explizit gefordert. Auf diese Schlussfolgerung kommen die Medien, wie u.a. der WDR2 in seinem Beitrag am 05.02.2020 im Hörfunk durch eine medientypische Verkürzung der Sachlage.

Wenn es den Verdacht gibt, dass Passwort könnte kompromittiert worden sein, dann muss es sofort geändert werden. Und auch eine Mindestlänge muss es nach wie vor haben. Für Passwörter bis zu 8 Zeichen existieren sogenannte Rainbow-Tabellen mit vorberechneten Hash-Werten. Damit kann man ein verschlüsselt (gehasht) abgelegtes Passwort im Klartext durch Nachschlagen in der Rainbow-Datenbank ermitteln, wenn man einen Hash-Wert (oder gar eine ganze gehashte Passwortliste) erbeutet hat. Und: Mit entsprechender Rechenleistung kann man Passwörter auch systematisch durchprobieren (Brute Force Attacke). Beides funktioniert aber nur mit Passwörtern bis etwa zur Länge von 8 Zeichen. Darüber wird der Rechenaufwand bzw. der benötigte Speicherplatz so groß, dass er i.d.R. nicht mehr handhabbar ist (wächst exponentiell mit Anzahl der möglichen Zeichen und Stellen). Daher bleibt die Empfehlung, Passwörter möglichst lang zu wählen (z.B. größer 10 Zeichen). Das geht ganz einfach mit einem persönlichen Merksatz, von dem man die ersten beiden Zeichen jedes Wortes in Gross-Kleinschreibung incl. Satzzeichen und Ziffernaustausch als Passwort nimmt. Beispiel: „Heute ist ein schöner Tag, um sich ins Freibad zu legen.“ ergibt das sehr sichere Passwort „Heis1scTa,umsiinFrzule.“ (bitte diesen Satz jetzt nicht verwenden…)

Benutzer sollten ihre Passwörter in angemessener Zeit (entsprechend dem persönlichen Schutzbedarf) dennoch ändern, da mit der Zeit die Gefahr steigt, dass ihr Passwort in einer (schlecht gesicherten) geleakten bzw. kompromittierten Passwortdatenbank aufgetaucht ist und damit Einzug in eine Wörterbuchattacke hält oder gezielt in Verbindung mit dem ebenfalls erbeuteten Benutzernamen zu einem konkreten Angriff benutzt wird (Erbeutetes Mail-Passwort des Benutzers wird z.B. in Amazon oder Ebay als Login versucht).

Und es gibt einen weiteren gewichtigen Grund, warum Betreiber von IT-Systemen an einem regelmäßigen Passwortwechsel festhalten sollten. Passwörter werden gerade bei Funktions-Accounts oft von mehreren Personen benutzt bzw. sind den Kollegen bekannt. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so hat er oft mit den alten - nie gewechselten - Passwörtern auch anschließend noch lange Zeit Zugriff auf die Daten und Systeme. Oder man denke an Situationen, wo Passwörter für einen externen Zugang geleakt worden sind, weil ihn mehrere Menschen kennen. So funktionieren dann Zugriffe auf eigentliche geschützte Bereiche dauerhaft mit nicht geänderten Passwörtern. Sollte alles nicht so sein – ist aber in der Praxis oft so.

Die Realität ist also meist etwas komplexer, als in einem 3 min – Beitrag oder ein paar Sätzen erklärbar (und auch als dieser Beitrag beschrieben kann). Man sollte sich dadurch also nicht zu falschen, voreiligen Schlüssen verleiten lassen. Man kann ja „zur Not“ jemanden Fragen, der sich damit auskennt…

Fazit: Passwörter ausreichend lang und komplex wählen, geheim halten und bei Verdacht sofort und ansonsten in angemessenem Zeitraum (z.B. alle 1-2 Jahre) ändern. Bei Funktions-Accounts, die ggf. von mehreren Benutzern genutzt werden (wenn sich das nicht vermeiden lässt) sollte der Zeitraum kürzer sein bzw. der Wechsel muss initiiert werden, wenn ein Benutzer aus der Runde ausscheidet.

Quellen der Berichterstattung u.a.

Heise:

https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

WDR:

https://www1.wdr.de/nachrichten/rheinland/bsi-it-grundschutz-kompendium-100.html

BSI IT Grundschutz Kompendium 2020

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html

Am 16.12.2019 findet in der IHK Aachen ein Austausch mit rund 30-40 Schülern der allgemein- und berufsbildenden Schulen zum Thema Digitalisierung und den Herausforderungen im späteren Arbeitsleben statt. Das Ganze geht auf eine Initiative des Berufsbildungsausschuss der IHK Aachen und dort des Arbeitskreises Digitalisierung zurück.

Wir wollen herausfinden, wie die Digitalisierung in Schule, Ausbildung und Beruf das Lernen (und Leben) wirklich verbessern kann und wo Schüler, Schulen und Betriebe noch enger zueinanderfinden können. Denn die Anforderungen, die sich in Ausbildung und Studium und später im Arbeitsalltag stellen, sind durch die Digitalisierung nicht weniger geworden - sie haben sich vor allem verändert. Damit knüpfen wir an zwei bereits sehr erfolgreich verlaufene Veranstaltungen zunächst mit den Mitgliedern des Berufsbildungsausschusses und dann mit Lehren der allgemeinbildenden Schulen und Berufsschulen in Form eines "World Cafés" an. Die Ergebnisse des dritten Teils mit den Schülern sollen dann in konkrete Handlungsempfehlungen münden, wie wir die Jugendlichen vielleicht noch ein bisschen besser auf die neue digitale Welt vorbereiten und wie moderne Lern- und Ausbildungsmethoden in Schulen und Betrieb Einzug halten können.

Und so ganz "nebenbei" möchten wir mit den Schülern ins Gespräch kommen, ob und wann eine betriebliche Ausbildung die bessere persönliche Alternative zu einem Studium ist. Denn wie viele andere müssen wir feststellen, dass nach wie vor zu viele Schüler das Studium einer Ausbildung vorziehen (und dann ggf. scheitern), obwohl viele Gründe bei objektiver Betrachtung eher für eine Berufsausbildung sprechen würde. Offenbar gibt es vielfach einen Automatismus, dass die Kinder bevorzugt auf das Gymnasium gehen sollen und dann automatisch studieren. Das liegt mit Sicherheit auch daran, dass in der Gesellschaft - getrieben auch durch eine jahrzehntelange verfehlte politische Orientierung zu immer mehr Hochschulabschlüssen - die duale (betriebliche) Ausbildung in ihrer Wertigkeit immer mehr zurückgedrängt wurde. Sprüche wie „Wenn Du das Abitur nicht schaffst, musst Du eben eine Ausbildung machen.“ sind genauso falsch wie kontraproduktiv wie Entscheidungen der Eltern über die Köpfe der Kinder hinweg à la „Der Junge wird Jurist!“. Die betriebliche Ausbildung und die daraus entstehenden Fachkräfte sind eine ebenso wichtige Stütze unserer Wirtschaft und Gesellschaft wie die Ausbildung an FH’s und TH’s. Und die Karrierechancen und Verdienstmöglichkeiten sind vielfach mindestens genauso gut.

Es wird Zeit, dass wir - so wie mittlerweile auch die Bunderegierung - die duale Ausbildung (um die uns das Ausland übrigens beneidet) wieder im Ansehen und Wertigkeit einem Studium gleich stellen und den Schülern echte Alternativen und Auswahlmöglichkeiten für das künftige Berufsleben vorstellen.

Ich freue mich auf den Austausch. Und übrigens: So bringt Ehrenamt allen etwas.

Thomas Käfer

Seminar Cyber Security von Anlagen und Maschinen

Die Absage von der Absage: Wegen der Corona-Krise muss das Kolloquium der Weyer-Gruppe "Cyber Security von Anlagen und Maschinen" als Präsenzveranstaltung leider abgesagt werden. Aber es gibt einen Ersatz: Wir machen das einfach digital:

Der IT Security-Experte Dipl.-Ing. Thomas Käfer, M.Sc. moderiert das Koloquium 2020 und darf im Namen des Gastgebers - weyer gruppe - hochkarätige Referenten begrüßen.

Unser Programm:

10:00 Uhr | Klaus Weyer - Ihr Gastgeber

10:30 Uhr | Stephan Gebhard - KAS 51 und Co - Anforderungen und Auswirkungen der aktuellen Regelwerke

11:15 Uhr | Markus Ahorner - Integrierte Cybersicherheit für Produktionsstandorte

12:00 Uhr | Martin Wundram - Live-Hacking „Stein zu Sand AG“ + Goldene Tipps als Gegenmaßnahmen

12:45 Uhr | Gerhard Klein – Erfahrungsbericht eines Angriffsopfers

13:30 Uhr | Onnen Siems, Thomas Budzyn und Tommy Berg - Chancen und Herausforderungen einer Cyber-Industrieversicherung

Weitere Fragen beantwortet Ihnen:
Frau Stefanie Moschkau
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
+49 (0) 2421 69 09 22 86

Wir laden Sie herzlich zu diesem spannenden und kostenlosen Branchenaustausch ein und freuen uns über Ihre Anmeldung bis zum 8. Juni 2020 unter
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Wir freuen uns auf Sie!

Aus eigener leidvoller und aktueller Erfahrung kann ich nur raten: Backups machen!

Aus der Idee „mal schnell die Website aktualisieren“ wurde ein Mega-Desaster. Zunächst verschwand nur ein Menü. Dann noch eins. Und dann war auf einmal die ganze Website zerschossen. Guter Rat teuer!

Okay. Irgendwann kommt man an den Punkt, dass ein Weitersuchen nach der Ursache keinen Quick-Win bringt. Also einfach ein Backup einspielen. Upps, wie war das noch? Das Backup für das man gerade keine Zeit hat, ist das, welches man am dringendsten braucht. Und so war es dann auch bei mir. Ein vollständiges aktuelles Backup hatte ich vor den Änderungen nicht gemacht. Zum Glück gab es da noch ein paar Fall-Back-Szenarien. U.a. beim Provider lagen noch automatische Sicherungen vom Vortag (die ich erst einmal nicht auf dem Schirm gehabt hatte). Und dann stolperte ich sogar noch über eine interne Backup-Funktion, die mir immerhin ein einen Monat altes Backup offerierte. Glück gehabt. Und obendrein fand ich dann auch die Ursache des eigentlichen Fehlers. ein veraltetes Plug-In, welches nicht in den automatischen Updates enthalten war und mir die Menüleiste zerschossen hatte. Also alles wieder gut. Sorgfältige Analyse und ein wenig Fachkompetenz haben mich dann gerettet. Und das Backup.

Wann haben Sie Ihr Backup zum letzten Mal gemacht und kontrolliert?

Deutschlands älteste Kaffeerösterei hat einen neuen Online-Shop. Dank KaeferLive.

Die Abkündigung von PHP 5.X hat es ausgelöst und gemeinsam mit dem Team von Plum's Kaffee haben wir aus der Not eine Tugend gemacht und nicht nur die technische Basis erneuert, sondern gleich auch noch den Shop gestalterisch und inhaltlich auf den neuesten Stand gebracht. Und das Sahnehäubchen on top: Die Administration ist einfacher und die Kosten für die Pfege des Shops sind deutlich gesunken. Win-Win.

Ab was erzählen wir? Machen Sie sich selbst ein Bild und probieren Sie eine Tasse exzellenten Kaffee!

https://www.plumskaffee.de

Time to say "Goodbye". Aktuell für die einstmals weltweit größte und bedeutendste Computermesse CeBIT. Diese wird nach einem offenbar katastrophalen Ergebnis in 2018 nun ganz eingestellt (Rückgang der Besucherzahlen von ca. 200.000 Besucher p.a. in den Jahren 2014-2017 auf 120.000 in 2018). Was aber auch eine saublöde Management-Entscheidung, die Messe von ihrem angestammten Platz im März auf den Juni zu verlegen. Wie habe ich im Sommer getitelt? "Stell Dir vor, es ist CeBIT und keiner hat es gemerkt." Klar gab es rückläufige Besucherzahlen. Die Digitalisierung ist auch bei den Messen angekommen und manche Information bekomme ich schneller, besser und billiger im Internet als im persönlichen Besuch einer Messe. Aber das Familientreffen in Hannover wird der Branche fehlen. Und ein wichtiges Signal geht von dem Verzicht auf die einzige weltweit relevanten IT-Messe auf deutschem Boden aus: Wir verlieren den Anschluss und landen in der digitalen Bedeutungslosigkeit. Hauptsache, wir klicken auf jeder Website diese dämlichen Cookie-Hinweise ab! Wo wollen wir unsere Ideen für die digitale Zukunft präsentieren, wenn nicht in Hannover auf der CeBIT? Aber RIP! CeBIT, Du liegst in bester Gesellschaft direkt neben dem Breitbandausbau ("Wir brauchen kein 5G an jeder Milchkanne..." Sechs. Setzen Bildungsministerin.) und der Sau "Digitalisierung", die von vielen Unwissenden durchs Dorf zu Tode getrieben worden ist (Laber, laber, laber, aber wie der Blinde von der Farbe reden).

Wie wäre es, mal Leute zu fragen, die sich damit auskennen? Ok, Gelbe Seiten sind auch Old-School, aber es gibt ja zum Glück die amerikanische Suchmaschine Google…

Mann, bin ich sauer.

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung in Kraft und verpflichtet alle Akteure, die Dienstleistungen und Waren in der Europäischen Union anbieten und letztlich personenbezogene Daten erheben, speichern und/oder verarbeiten zu einem sorgsamen Umgang mit selbigen. Und das gilt damit erstmalig auch für Institutionen, die außerhalb der EU ansässig sind, aber in der EU tätig werden. Und wer sich nicht an die Regeln hält, dem drohen saftige Bußgelder bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes eines Jahres des kompletten Konzerns, je nachdem was höher ausfällt.

Und was wird geschützt? Personenbezogene Daten natürlicher lebender Personen, also z.B. Adressen, Geburtsdaten bis hin zu besonders schützenswerten Gesundheitsdaten oder Informationen über Rasse, Religion, politischer Einstellung usw..

Schön. War längst überfällig und eigentlich selbstverständlich. In Deutschland haben wir uns darum dank BDSG schon seit Jahrzehnten kümmern müssen. Jetzt trifft es auch die Mitbewerber im Ausland.

Aber ist Datenschutz wirklich so wichtig oder gibt es vielleicht etwas, das noch viel wichtiger ist?

Richtig. Wie sieht es denn mit dem Recht auf Datensicherheit aus? Viele leiten aus dem Begriff „Datenschutz“ einen allumfassenden Schutz ihrer Daten ab. Schön wär’s.

In den Datenschutznormen ist zwar auch die Einhaltung von grundlegenden IT-Sicherheitsregeln vorgeschrieben, aber in dem Moment, wo keine personenbezogenen Daten direkt betroffen sind, ist die Missachtung von IT-Sicherheit in Produkten und Dienstleistungen praktisch vollkommen sanktioniert.

Unser nationales IT-Sicherheitsgesetz suggeriert, dass IT-Sicherheit per Gesetz geregelt wäre, aber das betrifft nur kritische Infrastrukturen (wie beispielsweise etwa Strom- und Wasserversorger) und eben nicht das 08/15 IT-Produkt oder Programm für Lieschen Müller.

Wenn dann Daten auf einmal weg sind oder IT-Systeme kompromittiert worden sind, ist das Geheule groß. Jemanden dafür haftbar zu machen, ist in der Praxis äußerst schwierig. Und auch wenn man (noch ohne Schaden) eine IT-Sicherheitslücke entdeckt (die es zuhauf gibt), bleibt das für den Verursacher / Anbieter ebenfalls meist folgenlos. Selbst wenn er die Lücke nicht schließt, bekommt man ihn nicht so einfach zu fassen.

Wäre es angesichts zunehmender Digitalisierung und Durchdringung der IT in allen Lebensbereichen nicht dringend notwendig, auch die Implementierung von IT-Sicherheit nach einem aktuellen Stand der Technik in jedem Produkt zu fordern und dessen Fehlen bzw. Mangelhaftigkeit zu pönalisieren? Was ist, wenn die Produktion eines Unternehmens aufgrund eines eigentlich abwehrbaren IT-Vorfalls ausfällt? Was ist, wenn ein voll-automatisiert fahrendes vernetzets Fahrzeug mit 130 km/h gegen die Wand fährt, weil es eine Sicherheitslücke gab, die ein Hacker zum Spaß ausgenutzt hat? Was ist, wenn das Haus abbrennt, weil der internetfähige Toaster durch Schadcode überlastet wurde?

Einen Teil davon kann man über Versicherungen abfedern. Aber es bleiben erhebliche Risiken für Vermögen, Leib und Leben, denn wir reden nicht mehr allein von Daten oder Geld, die weg sind. Im Internet der Dinge reden wir von echten Bedrohungen durch mangelhafte IT-Sicherheit.

Bei aller digitaler Aufbruchsstimmung lohnt es sich daher, auch über IT-Sicherheit zur Not über eine Verordnung und einen gesetzlichen Anspruch nachzudenken. Alles andere wäre fahrlässig und kurzsichtig.

Und für die Gerichte wäre es durchaus sinnvoll, wenn mangelhafte oder fehlende IT-Sicherheit als Produktmangel definiert würde. Das würde den Druck auf die Anbieter erhöhen, ihren Job in Punkto IT-Sicherheit besser zu machen, als das jetzt der Fall ist. Denn eine mal schnell hin gerotzte App mit Sicherheitslücken ist weder digitale Transformation noch ein Leuchtturmprojekt, sondern eine Sackgasse.

Viele Entwickler und Anbieter empfinden IT-Sicherheit als hinderlich und kostspielig. Der Verzicht darauf wird noch kostspieliger und letztlich erhöht die Berücksichtigung von IT-Sicherheit bereits beim Produktdesign auch die Produktqualität.

Jetzt müsste nur jemand den Gedanken mal aufgreifen und weiter diskutieren…

P.S. Und bis es eine Verordnung gibt, könnten wir ja schon einmal anfangen, freiwillig konsequent IT-Sicherheit in unsere Produkte und Dienstleistungen einzubauen.