DS-GVO Fehlkonzept Nr. 4: Lückenlose Datentransparenz ist machbar

Der WG Kühlschrank

Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.

Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.

Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen  auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.

Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge (“Data Analytics”) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten “DS-GVO relevant” berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.

Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).

In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit.  Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!

Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.

DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?

IKT-Minimalstandard Sicherheit

Der Bund hat am 27.8.18 einen Minimalstandard für IT-Sicherheit publiziert. Wie immer sind solche “Mindeststandards” alles andere als einfach zu verstehen, geschweige denn umzusetzen.  Wir helfen Ihnen bei der Umsetzung dieser Vorgaben.

IKT-Minimalstandard mit erhöhtem Fokus auf Vorfallsbehandlung

Das Bundesamt für wirtschaftliche Landesversorgung (BWL) lanciert einen Minimalstandard zur Verbesserung der IKT-Resilienz mit erhöhtem Fokus auf Vorfallsbehandlung (Incident Response). Die vom BWL herausgegebene Publikation richtet sich zwar insbesondere an die Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jedes Unternehmen oder jede Organisation anwendbar.

Das Assessment-Tool ist in fünf Themenbereiche mit insgesamt 106 Massnahmen gegliedert, über welches der Minimalstandard in der eigenen Organisation einem Test unterzogen werden kann. Auffallend ist, dass erstmals der Vorfallsbehandlung und Wiederherstellung ein merkbar gewichtiger Stellenwert zugeordnet wird, als dies früher der Fall war. So beziehen sich im erwähnten Assessment-Tool 21 Punkte auf die Vorfallsthemen “Respond & Recover”.

Voraussetzung für die Verbesserung der IKT-Resilienz durch die Implementierung einer Defense-in-Depth-Strategie ist ein aktives Risikomanagement. Dieses soll die Risikobereitschaft des Unternehmens berücksichtigen. Eine absolute Sicherheit wird es nie geben. Deshalb muss die Unternehmensführung den Risikoappetit festlegen und zusätzlich Massnahmen treffen, um für den hoffentlich nie eintreffenden Ernstfall adäquat gewappnet zu sein. Compass Security unterstützt Sie hierbei mit einem 4/7 Digital Forensics & Incident Response Service (DFIR).

Download der Publikation des BWL wie auch des IKT-Minimalstandard-Assessment-Tools.

30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um “Datensicherheit” eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: “From Obscurity to Security”, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von “Transaktionen” (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: “Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr”. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für “ernsthafte” Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist “aufgesetzt”. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System “Auto” brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel “Biggest misconceptions in information security“):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit “einbauen”.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem “technischen Kram” herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: “Data Leakage Prevention”, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist “Firewall” = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen (“Cyberwar”) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der “Prävention” weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet “balkanisiert” werden: Auftrennung von kommerziellem vs. staatlichem vs. “verseuchtem” Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit “Peers” aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Datenwirtschaft, Datenpolitik und Datenregulierung in der Schweiz

Am 30. Januar 2017 fand in Bern eine Veranstaltung zu den erwähnten Themen statt, Thematisiert wurden v.a. die Rahmenbedingungen und Überlegungen, Strategien und Handlungsoptionen von Bund, Unternehmen und dem Einzelnen. Organisiert wurde die Veranstaltung von SwissHoldings, einer Interessenorganisation grosser Handels- und Industrieunternehmen, unter der Federführung des ehemaligen KRM Mitgründers Jacques Beglinger. Die Veranstaltung war ausgebucht, das Interesse entsprechend gross.

Agenda:

  • Datenbewirtschaftung als ökonomischer Motor – Herausforderung und Praxis in den Unternehmen
  • Wie die Digitalisierung und die Datennutzung international reguliert werden
  • Ansätze zur Digitalierungs- und Datenregulierung in der Schweiz

Anwesend waren sehr viele Juristen und Vertreter des Bundes sowie von Forschung und Lehre.

Vieles während dieser Veranstaltung „in the cloud“ (den Begriff nebulös wollen wir mal hier bei Seite lassen). Tatsächlich bewegten sich vor allem die Vertreter des Bundes auf einer Flughöhe, die man also normaler Schmalspurpilot wohl nie erreichen wird. Immerhin gibt es vom Bund seit 2016 ein Strategiepapier zum Thema Digitale Schweiz, welches durchaus lesenswert ist.

In einem geopolitischen Umfeld, welches primär durch Abschottung geprägt ist (der Economist hatte vor ca. 3 Jahren den Begriff der „Balkanisierung“ des Internets ins Spiel gebracht), wird es zunehmend schwieriger, eine konsistente Handlungsweise zu etablieren. Konsistent – aber womit, dass ist doch die Kernfrage. Jene, welche die Übernahme des Datenschutzrechts der EU massregelten, mussten zur Kenntnis nehmen, dass selbst das Privacy Shield Abkommen durch Hrn. Trump in Frage gestellt wird. Im übrigen wurde durch den Bund soeben die CH-Version des Privacy Shield verabschiedet.

Soll sich die Schweiz hier einfach den Datenschutz-Vorgaben der EU fügen? Hier hätte man sich eine intensivere Diskussion gewünscht. Ebenso zur Grundsatzfrage, ob Datenschutz überhaupt noch eine Menschenrecht sein soll. Fakt ist, dass sich heute vermutlich 80% aller Benutzer über den Datenschutz keine Gedanken machen. Die Europaratskonvention 108, welche eben dieses Recht stipuliert, ist der wesentliche Treiber, doch blockiert hier z.B. Russland seit 2011 die weitere Entwicklung (also doch eher eine „l‘art pour l‘art“ Diskussion?). Ansonsten war Datenschutz Bashing wie immer beliebt. Das hat vor allem damit zu tun, dass die negativen Auswirkungen auf den Einzelnen noch nicht eingetreten sind, auch das wurde leider nicht thematisiert.

Für den normalen Industrievertreter war es ein schwieriger Abend. Die Themen, die wirklich interessant gewesen wären (z.B. die Frage nach Daten im Konkurs) wurden nicht beantwortet, bzw. offenbar nicht einmal thematisiert. Ausserdem fehlt dem Bund tatsächlich eine rechtliche Landkarte, welche Themen für die Wirtschaft wirklich Handlungsbedarf besteht. Immerhin hat der Bund einen Bericht zu den Rahmenbedingungen der digitalen Wirtschaft publiziert, allerdings handelt es sich dabei bisher eher um einen Auftragskatalog. Darin gibt es einen Auftrag an das SECO, die Rahmenbedingungen der Digitalisierung zu prüfen („Digitalisierungstest“). Dazu lässt man sich bis 2018 Zeit! Würde man die Praktiker fragen, hätte man die Antwort in einer Woche. Auch nicht klar wurde die Haltung gegenüber den Monopolanbietern Uber und Co. Hier könnte man erwarten, dass es seitens des Bundes zumindest Überlegungen gibt, wie man eine Monopolisierung dieser Märkte verhindern könnte.

Fazit: Während sich der Bund in einsame Höhen schraubt, bleibt dem dem normalen Industrievertreter oder dem Praktiker nur das Staunen. Es scheint sich zu bewahrheiten, dass die Beamten in Bern je länger je mehr von der Wirtschaft entkoppelt sind. Es wird wohl langsam Zeit, dass hier wieder ein Umdenken stattfindet. Den Lobbyisten im Parlament sei geraten, das Thema einfach und klar zu kommunizieren und sich wieder auf die Grundlagen zurück zu besinnen. Vor allem ein Blick in die Wirtschaft wäre wünschenswert. Es gibt mittlerweile genügend Spezialisten, die sich tagtäglich mit diesen Themen auseinandersetzen.

PS: Die Geschäftsbücherverordnung wurde Ende der neunziger Jahre durch Industrievertreter, d.h. eine Kommission des Swico erarbeitet. Ein Vorgehen, welches heute schlicht undenkbar wäre.

PPS: Politiker waren fast keine da (ausser dem umtriebigen SR Noser, welcher die Begrüssungsrede hielt), auch dies ist keine neue Erfahrung. An der Politik geht die grösste Entwicklung seit der Erfindung des Flugzeugs vorbei. Milchzuschläge können vermutlich noch immer 100x mehr Politiker aus dem Vorruhestand bewegen als die unmittelbare Zukunft der Schweizer Wirtschaft.