Allgemein

30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um “Datensicherheit” eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: “From Obscurity to Security”, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von “Transaktionen” (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: “Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr”. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für “ernsthafte” Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist “aufgesetzt”. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System “Auto” brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel “Biggest misconceptions in information security“):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit “einbauen”.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem “technischen Kram” herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: “Data Leakage Prevention”, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist “Firewall” = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen (“Cyberwar”) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der “Prävention” weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet “balkanisiert” werden: Auftrennung von kommerziellem vs. staatlichem vs. “verseuchtem” Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit “Peers” aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.

Die Mär von den innovativen Schweizer Unternehmen

Jedes Jahr geht ungläubiges Raunen durch die Menge: Die Schweiz ist das innovativste Land der Welt, juhee!! Dummerweise ist diese Aussage aus dem Kontext gerissen, denn Innovation bedeutet noch lange nicht wirtschaftlichen Erfolg! Ich behaupte, die Schweiz ist nach wie vor eine Blut und Boden Gesellschaft und eigentlich knapp nach der Industrialisierung stehen geblieben.Wir bringen die Innovationskraft aber nicht auf den Boden, sprich in die Realwirtschaft.

Ein paar Beweise dazu?

  1. Platz 44 auf der Innovationsrangliste der innovativsten Firmen belegt Nestlé – no comment.
  2. Kein Geld für Start-ups: 90% aller Startups, welche in den letzten Jahren Erfolge feierten, mussten dem Umweg über die USA nehmen.  Es gibt löbliche Ausnahmen: Doodle, Digitec, aber eine echte Start-up Industrie fehlt in der Schweiz. Die Förderungsprogramme sind Tropfen auf einen heissen Stein.
  3. Die Landwirtschaft wird seit ewigen Zeiten durchgefüttert. Bauern sind seit Jahren Staatsangestellte.  Jüngstes Beispiel: 500 Mio., die durch den Bundesrat in die Bauernrachen geschoben werden. Innovation ist bei den Bauern ein Fremdwort, wozu auch, denn da fehlt schlicht der finanzielle Anreiz. Lieber Prämien für das Geranienkistchen am Balkon bezahlen!
  4. Eine ausser Rand und Band geratene Bauindustrie: Die Bauquote in der Schweiz (Anteil am BSP) ist seit Jahrzehnten viel zu hoch. Es wird dauernd über Zersiedelung etc. gejammert, aber die Politik und die Finanz unterstützt die primitivste Form der Investition mit irrwitzigen Beträgen.

Die Gründe:

  • Die Bildungs-Investitionen werden  völlig falsch verteilt. Hochschulen wie die ETH bekommen viel zuviel Geld und bilden damit Studenten aus, die zum grossen Teil ins Ausland abwandern. Die ETH erhält doppelt soviel Geld wie alle anderen Hochschulen zusammen (10 Mia. vs. 5 Mia.). Die Grundlagenforschung ist völlig überbezahlt, der Nationalfonds erhält fast 10x mehr als die KTI Projekte, also diejenigen, Projekte, die ein nutzbares Ergebnis erzielen. Fachhochschulen bieten Studiengänge an, die in der Praxis überhaupt nicht gefragt sind. Solange genügend zahlungskräftige Studenten gefunden werden, ist das ja toll (ob sie dann einen Job bekommen oder nicht ist Nebensache)!
  • Der Bundesrat und die Politiker werden durch die “alten” Branchen bezahlt und aktiv bei ihren Fehlentscheiden unterstützt. Beispiel: Die Versicherungswirtschaft, gemeinsam mit der Bauindustrie, wollen dafür sorgen, dass Gelder der 2. Säule weiterhin zum Erwerb von Grundeigentum genutzt werden können, nicht aber um ins eigene Unternehmen zu investieren!
  • Die Finanz verweigert seit Jahr und Tag eine Förderung von Start-ups. Für die Banken bedeutet Innovation = Gefahr (ausser als Spekulationsvehikel für ihre Kunden).
  • Falsche Ansiedelungspolitik: Es wird Grossunternehmen wie Google und co. hofiert, welche sich nicht um die schweizerischen Gegebenheiten kümmern (duale Ausbildung) und lieber nach der vollständigen Personenfreizügigkeit schreien. Für Start-ups gibt es keine oder falsche Anreize: Was soll ein Jungunternehmer mit Steuerbefreiung für 3 Jahre, wenn er zuerst auf einen minimalen Umsatz kommen muss?
  • Alte Messgrössen, welche die  Innovation nicht  wiedergeben können.  In der aktuellen Phase des “2nd machine age”  sind die heutigen Messgrösse der Wirtschaftskraft (BSP)  völlig veraltet. Erik Brynjolfsson und Andrew McAfee zeigen exemplarisch, dass wir eine völlig neue Bewertung der Wirtschaftsleistung benötigen.

 

 

Digitalisierung- der nächste Sündenbock?

In verschiedenen Artikeln von renommierten Medien wurde in den letzten Monaten vor den Gefahren der Digitalisierung gewarnt. Ins gleiche Horn stösst der aktuelle Economiesuisse Präsident Heinz Karrer. Dabei wird immer wieder dieselbe Studie zitiert, nämlich eine Untersuchung der Universität Oxford. Darin wird auf die Gefahr des Verschwindens von über 90 % bestimmter Arbeitsstellen hingewiesen. Begründet wird die Abnahme bestimmter Jobs v.a. durch die fortschreitende Digitalisierung.

Wie in unserem Buch „Information Governance“ ausführlich beschrieben, haben sich bereits viele Vordenker, unter anderem Jérome Lanier, mit diesem Phänomen befasst. In diesem, von ihm behandelten Kontext geht es um die Gefahr des Datensammelns. Es entsteht eine schleichende Konzentration der Machtverhältnisse auf die potentesten Datensammler. Lanier schliesst daraus, dass den meisten Geschäftsmodellen das Schicksal der Musikindustrie droht. Solche Gedanken müssen wir ernst nehmen, auch wenn wir sie heute vielleicht als überzogen bewerten,

Eine nüchterne Betrachtung dieser Artikel und Mutmassungen lässt jedoch immer nur den einen Schluss zu: Wir sind schon seit Jahren daran, manuelle Tätigkeiten durch die technische Weiterentwicklung abzulösen. Dies ist keine neue Entwicklung und findet so seit der Industrialisierung statt. Es sollte also nicht primär darüber lamentiert werden, dass diese Stellen einen Wechsel erfahren oder verschwinden, sondern, WIE sie kompensiert werden könnten.

Kompensation kann hier zweierlei bedeuten:

  1. Bereitstellung von finanziellen Mitteln zu Gunsten der „Geschädigten“, also Personen, die „dummerweise“ den falschen Beruf erlernt haben (Stichwort Grundeinkommen).
  2. Die Schaffung neuer Jobprofile, die sich den Digitalisierungstendenzen entziehen.
  3. Ein unternehmerisches Handeln, welche die erwähnten Aspekte berücksichtig.

Auf Punkt 1 werde ich hier nicht weiter eingehen, wenngleich dies ein interessanter, allerdings heute politisch fast aussichtsloser Ansatz ist. Er wird uns in Zukunft aber sicherlich noch beschäftigen.

Meiner Meinung nach hat die zweite Strategie klar ihre Grenzen. Denn es wird sich nicht vermeiden lassen, dass viele Jobs, die heute als reine Hilfsjobs eingestuft werden, verschwinden werden.

Es wird sich also jeder Unternehmer die Frage stellen müssen, wie die erzeugte Wertschöpfung verteilt werden kann, dass sie auch den Verlierern zukommt. Die Gewinnmaximierung im Interesse der Aktionäre wird sich mit der Verschärfung der Arbeitslosigkeit nicht mehr rechtfertigen lassen. Gleichzeitig lässt sich aber auch nicht rechtfertigen, dass Jobs beliebig ins Ausland verschoben werden. Die Verschiebung von Jobs geschieht meistens unter dem Deckmantel der Kosteneinsparung. Hätten die Unternehmen ihre realen Gestehungskosten tatsächlich im Griff, dann würden sie sehr schnell feststellen, dass Kommunikationsverluste, welche sie in Zusammenarbeitsmodellen mit vernetzten internationalen Standorten entstehen, die vermeintliche Kosteneinsparung mehr als kompensieren.

Was bedeutet dies nun für den verantwortungsbewussten Unternehmer in der Schweiz? Hier einige Grundsätze, die mir in diesem Zusammenhang als wichtig erscheinen:

  1. 1. „All Business is local“ bleibt ein zentrales Strategieelement. Viele Produkte werden bewusst bei lokalen Anbietern gekauft, weil der Mehrwert des neuen Zugangs und der besseren Qualität eine wesentliche Rolle spielt. Dies gilt vor allem für hochwertige Produkte, wird sich aber auch auf weitere Angebote ausdehnen. Wir werden eine stärkere Abschottung der Märkte sehen, die Globalisierung hat ihr Limit erreicht.
  1. Die Digitalisierung ist der Auslagerung von Arbeitsplätzen vorzuziehen. Im Zusammenhang mit Grundsatz eins stellt man immer wieder fest, dass es vielfach wesentlich sinnvoller wäre, bestimmte Geschäftsprozesse zu automatisieren, statt sie an ein unfähiges Dienstleistungszentrum auszulagern. Lieber vereinfachte und günstige Prozesse im Inland, als komplizierte und schwerfällige im Ausland, denn Zeit bleibt Geld. Das Potenzial ist hier enorm und noch lange nicht ausgeschöpft.
  1. Es gibt Tätigkeiten, die man heute als hochqualifiziert bezeichnet, dies freilich nie waren. Ich denke hier z.B. an die Programmierung. Eine Tätigkeit, die man eigentlich schon lange hätte automatisieren können. Hier soll den die Automatisierungsmöglichkeiten tatsächlich ausgeschöpft, bzw. stark verbessert werden. Hier besteht ein grosses Kostenersparnispotenzial.
  1. Weg von der Anonymisierung und der Automatisierung von Kundenanbindungen. Kunden wollen von einem echten Menschen bedient werden. Automatisierte Portale mögen zwar eine nette technische Spielerei sein, sie ersetzen jedoch den Mensch zu Mensch Kontakt nie. Wenn eine Ur-Schweizer Firma sich erlaubt, einen automatisierten Help Desk im Ausland einzurichten, dann verspielt sie damit bereits 50% ihrer Glaubwürdigkeit.
  1. Es gibt Geschäftsmodelle die sich nicht dafür eignen, automatisiert zu werden. Dazu gehören meiner Meinung nach Finanzberatungen, obwohl dies die Fintech Auguren derzeit zu widerlegen versuchen.
  1. Wehren Sie sich gegen das Überhandnehmen der Normierung und den Regulierungswahn. Was wir in den letzten 20 Jahren am Produktivität gewonnen haben, haben wir zur Hälfte durch völlig sinnlose Normierungen und Standards vernichtet. Wir schaffen sinnlose Jobs und versuchen, diese mit Ressourcen zu besetzen, die sich noch nicht einmal im Inland befinden. Das ist ökonomisch gesehen ein völliger Blödsinn und so rasch als möglich abzustellen. So leid es mir tut, aber es gibt Dienstleistungsbranchen, die ihr Kerngeschäft mit 50% des Personalbestands problemlos abwickeln könnten. Im Rahmen von Kundenmandaten trifft man immer wieder auf Wertvernichtungen unter dem Denkmantel der „Compliance“, die einem die Haare zu Berge stehen lassen.
  1. Suchen Sie nur hochqualifizierte Fachkräfte, die dieses Prädikat auch verdienen. 90 % der so genannt hochqualifizierten Jobs verdienen dieses Prädikat in keiner Art und Weise. Braucht man eine hochqualifizerte Persönlichkeit, dann nimmt man auch ein halbjähriges Bewilligungsverfahren in Kauf.
  1. Folgen Sie nicht den großen Beratungsunternehmen wie McKinsey & Co., sondern stellen sie sich ihre eigenen Gedanken an. Das ist zwar keine neue Weisheit, doch man stellt immer wieder fest, dass Verwaltungsräte gnadenlos kopieren, was ihre „Peer„-Organisation gerade getan hat. Bestes Beispiel dazu ist das Outsourcing wurde von vermeintlich unterqualifizierten Bürojobs. in Unkenntnis der realen Kosten, werden die Jobs ausgelagert, was zu den bereits oben erwähnten Nachteilen für das Unternehmen führt. Frei nach Dilbert „Wenn alle nur noch „best practice“ machen, sind sie alle nur noch mittelmässig“.
  1. Als Verwaltungsrat sind sie in der Pflicht, sich auch darüber Gedanken zu machen, wie sich das Unternehmen trotz all dieser Widrigkeiten im Sturm bewegen kann. Viele gute Beispiele werden Ihnen zeigen, dass dies auch weiterhin möglich ist. Das allgemeine Lamentiergehabe, welche sich derzeit ausbreitet, ist wohl das beste Gift zur Ausrottung einer gesunden Wirtschaft.
  1. Vernetztes Denken ist Pflicht und er kann sich weder auf die Ratschläge von überbezahlten Funktionären noch Politikern verlassen. Lassen Sie Doom-Propheten wie Karrer und Co. links liegen, die ihre Sporen als Schönwetterkapitäne verdient haben und uns jetzt erzählen wollen, worauf wir achten sollen. Dies gilt auch für Schönwetterpolitiker, die uns vormachen wollen, dass wir die Schönsten und Besten sind.

Denken Sie selbst nach, handelt sie als Unternehmer machen sie Dinge, welche nicht „in“ sind. Setzen Sie sich mit Ihren Arbeitnehmern aktiv auseinander und lassen Sie auch sie zu Wort kommen.

 

 

Das FUD Prinzip

Manchmal fragt man sich wirklich, ob Juristen nur dann in der Lage sind,  einen Auftrag zu akquirieren, wenn sie ihren potentiellen Auftraggebern möglichst viel Angst einjagen.

Kürzlich in einem, an Unternehmer vertriebenen Zeitungsprodukt, gelesen. In der aktuellen Nummer äussert sich ein hier nicht genannt sein müssender “Fach”Anwalt zum Thema Datenschutzrecht, Überschrift: Es drohen hohe Bussen! Im Artikel wird eindringlich darauf hingewiesen, dass sich der Unternehmer grundsätzlich kurz vor dem wirtschaftlichen Absturz befindet, wenn er Daten bearbeitet. Mit mehr oder weniger blumigen Worten wird davor gewarnt, dass die Firma, halte sie denn die neuen EU-Datenschutzrichtlinie nicht ein, eigentlich kurz vor dem Bankrott stehe. Lieber Anwaltskollege: 1. ist diese Datenschutzrichtlinie noch nicht in Kraft, 2. wird sie national implementiert werden und es ist völlig offen, wie die einzelnen Länder dies tun werden, 3. ist es bei Leibe nicht so ist, dass jedes Unternehmen, welches in der Schweiz tätig ist auch automatisch vom EU Recht betroffen sein wird.

Keine Unternehmer wird ernsthaft in Aktionen rund um den Datenschutz investieren, wenn er nicht weiss, welche Regeln  tatsächlich anzuwenden sind und ob er damit ein Risiko eingeht. Das FUD-Prinzip (Fear Uncertainty & Doubt) funktioniert nun einmal nicht, wenn die angedrohten Nachteile weder konkretisierbar noch direkt absehbar sind. Ich bin es leid, und gleiches gilt für 99 % der Unternehmer die ich kenne, von Juristen nur zu hören, was man nicht machen darf, selbst wenn noch völlig unklar ist, was dies konkret bedeutet. Genau aus diesem Grund haben wir vor Jahren die Mission 100 gegründet, einen Verein, der sich zum Ziel gesetzt hat, datenschutzkonforme Lösungen bei den Kunden umzusetzen, dies aber immer so zu tun, dass der unternehmerische Hauptanspruch, nämlich die Gewinnerzielung, damit vereinbar ist. Dies verlangt nach einem hohen Mass an Geschäftsverständnis und transparenter Kommunikation der vorhandenen Risiken. Heute genügt es schon lange nicht mehr, nur auf die Angstpauke zu hauen. Zum Glück sind Manager und Unternehmer in den letzten Jahren so gereift, dass sie diesem Winken mit dem imaginären Zaunpfahl kein Gehör mehr schenken.

Wo sind unsere Daten?

Haben Sie sich schon einmal gefragt, wo sich Ihre Daten eigentlich befinden und was es mit diesen ganzen “Cloud” und “App” Diskussionen auf sich hat? Diese Präsentation des Kompetenzzentrums Records Management und Wildhaber Consulting zeigt die wesentlichen Aspekte. Wir erstellen einen Gesundheitscheck Ihrer Datenhaltung und prüfen auf regulatorische und unternehmerische Risiken.Präsentation: Wo sind meine Daten

Cloud “Insecurity”?

Haben sie sich schon einmal überlegt, wie sicher ihre Daten sind, wenn sie sie einem Dritten anvertrauen oder in der “Cloud” speichern? Um diese Frage zu beantworten, haben wir ein Beratungsangebot lanciert.

Immer wieder wird behauptet, Cloud-Dienste seien viel sicherer als die eigene IT. Doch stimmt dies in Ihrem Fall? In Anbetracht der Verunsicherung, welche durch die Medienberichte über den Zugriff von amerikanischen und anderen Geheimdiensten auf Daten von grossen Internet-Anbietern verursacht wurden, haben wir beschlossen, an dieser Stelle Abhilfe zu schaffen. Wir erstellen für sie ein Profil der genutzten Diensten und deren Risikopotential, gemessen an den folgenden Kriterien:

  • Sicherheitsanforderungen
  • Spezifische, bzw. vertraglich vereinbarte Anforderungen
  • Gewährleistete Sicherheitseigenschaften
  • Anforderungen an das Life Cycle Management und die Datenverfügbarkeit
  • Anforderungen an die IT-Governance des Anbieters

Beispiel: Sie setzen für ihr CRM eine Cloud Lösung ein. Sie möchten wissen, was passiert wenn der Cloud Anbieter aufgefordert wird, ihre Unternehmensdaten an den Staat zu liefern? Welche Informationen erhalten sie dazu? Wo liegen ihre Daten und welche Datenschutzanforderungen erfüllt die Lösung? Wie können sie die vertraglichen Vereinbarungen überprüfen? Gibt es Benchmarks/Messgrössen zur Verifizierung dieser Vereinbarungen? Welche Möglichkeiten haben sie bei einer Vertragsverletzung? Erfüllt der Vertragspartner die vereinbarten Anforderungen an die IT-Governance? Was passiert im Falle einer Geschäftsaufgabe? Welche Absicherung bietet ein ISO XYZ Zertifikat oder eine andere Zertifizierung? Wie können und müssen Verschlüsselungsverfahren eingesetzt werden?

Diese und andere Fragen versuchen wir zu beantworten und erstellen eine individuelle Risikobewertung sowie eine Empfehlung für das Management.  Für weitere Abklärungen nehmen sie bitte mit uns Kontakt auf.

Wie man ein totes Projekt zu Ende führt..

Wie verkauft man tote (IT)-Projekte ans Management? Oder: “Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab.”

Doch im Berufsleben versuchen wir oft andere Strategien, nach denen wir in dieser Situation handeln: Ein immer wieder gern gelesenes Papier, dessen Autor man leider nicht kennt (könnte Dilbert gewesen sein..).

PS: Dies war über viele Jahre der meist gelesene Beitrag auf dieser Website..

 

  • Wir besorgen eine stärkere Peitsche.
  • Wir wechseln die Reiter.
  • Wir sagen: “So haben wir das Pferd doch immer geritten.”
  • Wir gründen einen Arbeitskreis, um das Pferd zu analysieren.
  • Wir besuchen andere Orte, um zu sehen, wie man dort tote Pferde reitet.
  • Wir erhöhen die Qualitätsstandards für den Beritt toter Pferde.
  • Wir bilden eine Task Force, um das tote Pferd wieder zu beleben.
  • Wir schieben eine Trainingseinheit ein, um besser reiten zu lernen.
  • Wir stellen Vergleiche unterschiedlich toter Pferde an.
  • Wir ändern die Kriterien, die besagen, ob ein Pferd tot ist.
  • Wir kaufen Leute von ausserhalb ein, um das tote Pferd zu reiten.
  • Wir schirren mehrere tote Pferde zusammen an, damit sie schneller werden.
  • Wir erklären: “Kein Pferd kann so tot sein, dass man es nicht noch schlagen könnte.” Wir machen zusätzliche Mittel locker, um die Leistung des Pferdes zu erhöhen.
  • Wir machen eine Studie, um zu sehen, ob es billigere Berater gibt.
  • Wir kaufen etwas zu, das tote Pferde schneller laufen lässt.
  • Wir erklären, dass unser Pferd “besser, schneller und billiger” tot ist.
  • Wir bilden einen Qualitätszirkel, um eine Verwendung für tote Pferde zu finden.
  • Wir überarbeiten die Leistungsbedingungen für Pferde.
  • Wir richten eine unabhängige Kostenstelle für tote Pferde ein.
  • Wir taufen das tote Pferd um.
  • Wir lassen das tote Pferd 48 Stunden ausruhen und probieren aus, ob es danach wieder läuft.
  • Wir schirren das tote Pferd vor eine Postkutsche, die auf einer anderen Linie fährt.

– anonymous

Verschiedene Materialien zur Information Governance

Grundsätzlich empfehle ich Ihnen die Site des KRM zu besuchen. Dort finden Sie die aktuellsten Informationen zum Thema. Hier ein paar ausgesuchte Artiel, die ich über die Jahre geschrieben habe:

Artikel & Präsentationen

The 10 Biggest Threats to your Information (caused by yourself, the CEO)

Was ist Information Governance?

Leitfaden Digitalisierungsstrategie (Information Management Strategie)

Sensibilisierungsartikel zum Thema Datenflut: Von der I-Technologie zum Informationsmanagement; erschienen in der NZZ, 15. April 2010

Data Deluge: Über das Problem der Datenflut (Economist, E, 2010)

Digital Landfill Artikel bei AIIM (in E): 8 Ways Information Management (IM) and IT Governance (ITG) Will Support Each Other

Interview in der “Schweizer Bank”, 2009

RECORDS MANAGEMENT – HOW TO COPE WITH DATA DELUGE: Inhalt, Definitionen (Kurzinformation in E)

Beweisführung mit elektronischen Daten; Digma 2/2005

Vortrag AIIM 2007: The Role of ECM in IT-Governance

Integritätssicherung im Archiv mit Digitalen Signaturen (Dubai Conference on Electronic Archiving, 2005, E)