Prof. Dr. Reinhard Posch
Wissenschaftlicher Gesamtleiter des Zentrums für sichere Informationstechnologie A-SIT

Wie schon lange im IKT-Bereich gehen wir vom Gutfall des Internet aus, freuen uns über Möglichkeiten und kreieren neue Applikationskonzepte fast ausschließlich aus dem Blickwinkel Bequemlichkeit.

Nur warum sind wir dann verwundert, wenn doch einmal etwas passiert? Und es passiert nicht nur manchmal etwas, sondern es steckt ein lukrativer Wirtschaftszweig hinter diesem „Passieren“. Allein unsere Handlungsschemata haben wir noch nicht darauf angepasst.

Die Presse benötigt Sensationen - breit wird über Vorfälle von NSA bis Sony Pictures berichtet, die Mühen des stetigen Vorbeugens werden aber gescheut. Dies hat Europa in eine nachteilige, weil Cloud und neuen Technologien gegenüber skeptische Verfassung gebracht.

Europas Verwaltungen und Unternehmen bezahlen für das Nachhinken im Technologiebereich mit der Konkurrenzfähigkeit und minderer Effizienz. Nicht die Zurückhaltung bei Cloud & Co., sondern ein stetiges, aber sicheres Voranschreiten wäre gefragt. Im Sicherheits- und Datenschutzbereich hat Europa eine gute Tradition und muss diese Gunst der Stunde auch innovativ nutzen.

In der Cloud benötigen wir glaubwürdige Sicherheits- und Datenschutzkonzepte

Die neuen Technologien, egal ob mobile Geräte, ob Cloud, ob Soziale Netze etc., gehen im Unterschied zu früher vom breiten Konsumentenbereich aus und wandern langsam in den Bereich der Unternehmen und Verwaltungen. Datenschutz und Sicherheit bleiben dabei oft auf der Strecke oder werden als ein notwendiges, aber lästiges Anhängsel gesehen und auch so in die Produkte eingebracht.

Besonders problematisch ist dies bei Software in der Cloud und bei Apps auf mobilen Geräten - der Benutzer kann Qualität und Sicherheit in der Regel nicht beurteilen und daher wird mit einer „Best Effort“-Strategie und kaum mit einem Mindeststandard an Sicherheit herangegangen. Ergänzt wird dieses Bild durch hochvernetzte Situationen, die eine zunehmende Monopolisierung erlauben.

Die Lehre, die wir aus den Berichten zu NSA, Snowden, Sony etc. gezogen haben bzw. unbedingt ziehen müssen, ist, dass man bei den hochkomplexen Strukturen nicht einfach den Aussagen derer, die ein Interesse in einer bestimmten Richtung haben müssen, vertrauen kann. Es ist allemal billiger, eine Qualitäts- oder Sicherheitsaussage mit Öffentlichkeitsarbeit zu festigen, als diese Qualität und Sicherheit technisch umzusetzen.

In einem Europa, das von Klein- und Mittelbetrieben sowie kaufkräftigen Konsumenten zu einem beachtlichen Teil getragen wird, ist dies nicht nur Beobachtung, sondern eine Aufforderung, zu handeln. Dazu wurden mit der eIDaS Verordnung 2014 und mit der Diskussion zu einer neuen Datenschutz-Grundverordnung Wege begonnen, die nun gefestigt werden müssen. Die Aktivitäten müssen konkret sein und in absehbarer Zeit Resultate in die Breite bringen.

Industrie beginnt zu reagieren - Trennung von Cloud und Sicherheit

Kernpunkt muss ein Trennen von Cloud und Sicherheit sein. Das erfordert hinreichend Bandbreite im Backend, es kann aber ein Cloud-Provider nur auf diese Weise die an ihn herangetragenen Anforderungen erfüllen. Agilität und Dynamik führen dazu, dass der Nutzer über das Wie und Wo keine sinnvoll machbare Kontrolle hat - Forderungen nach der physischen Lokation der Daten sind letztlich eine Behauptung und erfüllen nur Teile der wirklichen Anforderungen. Sichere Zugangskontrolle und Vertraulichkeit sind nur für einen relativ kleinen Teil von Daten eine zentrale Forderung.

Aber diese Forderung existiert nahezu in jedem privaten oder wirtschaftlichen Szenario und kann nur durch qualitätsvolle Identifikation nachhaltig gelöst werden. Diese Sicherheitsmaßnahme ist Basis nahezu aller Sicherheitsanforderungen. Die Mechanismen der Vertraulichkeit müssen aber jedenfalls im Vertrauensumfeld des Nutzers oder beim Nutzer selbst stattfinden. Konzeptuell und in Einzelfällen ist dies machbar und vorhanden. Jetzt müssen wir massiv in Richtung standardisierter Schnittstellen arbeiten. Nur dann kann es gelingen, die Interessen von Bürgern und Betrieben bei der Nutzung der neuen Technologien zu wahren.

Erst durch dieses Trennen von Cloud und somit Speicherung und Verarbeitung von den Sicherheitsservices und somit denjenigen Elementen, die mit Schlüsselmaterialien umgehen, kann eine Basis geschaffen werden, die auch den Anforderungen der Nutzer genügt. Mobile Geräte, die Systemvielfalt und die zunehmende Situation, dass kaum externe Geräte und damit auch kaum Smartcards im Gesamtszenario einen Platz finden, verstärken diese Situation. Die Industrie beginnt mit Produkten und der Trennung von Cloud und Verschlüsselung zu reagieren. Dieses Feld kann sich zu einer besonderen Stärke Europas entwickeln, da Gesetzeslage und Politik dies auch glaubhaft unterstützen.

Europa hat noch die Chance, seine Stärken bei Datenschutz und Sicherheit zu nützen

Zusammenarbeit und Teilen von Dokumenten und Applikationen ist die Zukunft; ob mit Google Docs oder Office 365 oder ob anderen Konzepten. Dabei ist aber jeder getippte Satz, jede Skizze einer neuen Idee irgendwo im Netz und unfreundlichen Interessen ausgesetzt. Es muss daher die Identifikation und die Vertraulichkeit vom Cloud-Service unbedingt getrennt werden.

Diese Herausforderung müssen wir in Europa annehmen und mit den Stärken im Bereich Datenschutz und Sicherheit, die in Europa existieren, verstärken. Die gesetzlichen und technologischen Voraussetzungen sind durchaus gegeben. Der Wille und die gemeinsame Position zur Governance müssen dazu verstärkt gefunden werden. Als Prävention, damit ein nächster Fall nach dem Muster Snowden nicht wieder zum Nachteil des Wirtschaftsraums wird.

Von der erfolgreichen Governance in Europa wird es abhängen, ob Teilen und Zusammenarbeit erfolgreich umgesetzt werden kann und den des Schutzes von Betrieben und Privaten beachtet oder ob das Internet monopolistisch beherrscht werden wird. Jedenfalls wird dazu innovative Sicherheitstechnologie notwendig sein.