Mirko Knappe, Vorstandsmitglied der Norddeutschen Bildungsstiftung (NBS) stellt fest: "Mit der Digitalisierung und Automatisierung der Welt eröffnen sich der Deutschen Wirtschaft gewaltige Chancen; diesen Chancen stehen allerdings Risiken und Rechtsfolgen gegenüber. Die NBS möchte die Verbände aus Politik, Wirtschaft, Verwaltung und dem Bildungswesen für eine nachhaltige Digitalisierung begeistern. In der Folge sollen die Verbände bei ihren Mitgliedern für verantwortungsbewusstes Handeln werben."
So hält es Knappe für möglich, dass Blinde mit schlauen Implantaten eines Tages wieder sehen, Lahme wieder gehen und Taube wieder hören könnten. Oder in der Industrie: Fahrzeuge zu Wasser, zu Lande und in der Luft könnten nicht nur vollautomatisch gefertigt werden, sondern auch noch ihre Eignerin autonom von A nach B transportieren.
Und künstliche Intelligenz könnte für einen sparsamen Energieverbrauch sorgen – etwa dadurch, dass die Energie aus Solarzellen und Windrädern immer genau an dem Ort zur Verfügung steht, an dem sich besonders viele Stromverbraucher aufhalten.
Das Risiko besteht für Knappe darin, dass sich so ein Fahrzeug auch nur um einen Millimeter oder eine Sekunde vertut oder gar bösartig angegriffen wird.
Da sind für Knappe "Szenarien denkbar, die sich katastrophal auf das Leben der betroffenen Fahrzeuginsassen und die wirtschaftliche Existenz der Verantwortlichen auswirken können".
So drohten bei Pflichtverletzungen Geldbußen, Schadenersatz und strafrechtliche Ermittlungen. Und Pflichten könnten die Verantwortlichen nicht nur selbst verletzen -- sondern sie würden auch noch für Fehler von Mitarbeiterinnen im "eigenen Haus" und bei ihren Auftragsverarbeitern haften. Als Fehler, die beim Planen, Entwickeln, Einrichten, Verwalten oder Nutzen von Software entstehen können.
Deshalb seien
-- Ende-zu-Ende-Verschlüsselungen
-- Multifaktor-Authentifizierung (MFA) für Fernzugriff
-- E-Mail-Filterung und Web-Sicherheit
-- Gesicherte, verschlüsselte und getestete Backups
-- Verwaltung des privilegierten Zugriffs (PAM)
-- Endpunkt-Erkennung und -Reaktion (EDR)
-- Patch- und Schwachstellenmanagement
-- Pläne zur Reaktion auf Vorfälle
-- Schulungen zum Bewusstsein für Cybersicherheit
-- Phishing-Tests
-- Absicherung des Remote-Desktop-Protokolls (RDP)
-- Protokollierung und Überwachung
-- Cyber-Risikomanagement
in der Lieferkette, bei der Herstellung, im Handel und der Anwendung erforderlich.
Die Einzelmaßnahmen müssten in einem Datenschutzmanagementsystem dokumentiert werden: Der Gesetzgeber verlangt beim Datenschutz nach dem "Stand der Technik" (SdT) -- SdT bei Datenschutzmanagementsystemen ist das 'Standard-Datenschutzmodell' (SDM). Für den Nachweis dieses Schutzniveaus haftet die Veranwortliche. Das hat sie der "Rechenschaftspflicht" zu verdanken, für Knappe der "Kern des Europäischen Datenschutzes": "Hat denn irgendein Verband seine Mitglieder jemals über die Rechenschaftspflicht informiert?" fragt Knappe.
Nach einer solchen Information – so hofft er – würden die Verantwortlichen dafür sorgen, dass die Widerstandsfähigkeit zentrales Ziel einer jeden Softwareentwicklung würde, dass permanent nach Schwachstellen gesucht und diese möglichst zügig gestopft werden.
Wenn öffentliche und private Institutionen aller Branchen und Größe ein solches SDM für die eigene Datenverarbeitung entwickelt haben, ergäbe sich am Ende – so die Hoffnung – ein "System vernetzter Sicherheit".
Von diesem SOLL scheint sich das IST jedoch eher zu entfernen, statt anzunähern: "Die Anzahl und die Bandbreite der vernetzten Geräte wächst exponentiell; während die Verantwortlichen nach wie vor sorglos sind, nutzen die Angreifer die technischen Möglichkeiten bis zum Anschlag, um menschliche und technische Schwächen automatisiert zu mißbrauchen. Wenn dieser digitale Graben nicht geschlossen wird, wird die Digitalisierung nicht erfolgreich sein", ist Knappe überzeugt.
Erfolgreich könnten sich – so Knappe – nur die Unternehmen im Zeitalter der Hyperkonnektivität behaupten, die ihrer Rechenschaftspflicht genügen könnten. Dazu ist nach Ansicht der Aufsichtsbehörden Freie Software besonders gut geeignet, da sie für vollständige Transparenz der Datenverarbeitung sorgt.
Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein geht noch einen Schritt weiter: "In bekanntermaßen sensiblen Bereichen wie etwa zentralen Strukturen für Kommunikationsdienste (z. B. Messenger, Telefon, Ausgangsserver für E-Mail) dürfte es ohne Open-Source-Einsatz schwer sein, sich von der Sicherheit und der datenschutzgerechten Implementierung zu überzeugen."
Und der Bundesbeauftragte für den Datenschutz glaubt in dieser Technik einen "Vertrauensanker der Digitalisierung" zu erkennen: "Open Source ist kein Dogma. Auch mit proprietärer Software können natürlich alle datenschutzrechtlichen Anforderungen erfüllt werden. Die inhärente Transparenz von Open Source führt aber typischerweise zu einer einfacheren und möglicherweise besseren Nachweisbarkeit der Datenschutzkonformität. Open Source hat also das Potenzial, zu einem echten Vertrauensanker der Digitalisierung zu werden."
Knappes Schlußfolgerung: "Die NBS will das Bewusstsein für die Bedeutung dieses Vertrauens und die Sicherheit von Betriebssystemen, Software zur Bürokommunikation und der elektronischen Post schärfen: Wer das nicht gewährleisten kann, wird seine Kundinnen vergraulen und riskiert seine wirtschaftliche Existenz. Wenn Freie Software besonders gut für Vertrauen sorgen kann, sollten das die Verantwortlichen verstehen!"
Ist die Infrastruktur sicher, müsse im nächsten Schritt für die sichere Authentifizierung der Betroffenen gesorgt werden: Sichere Passwörter würden angesichts der technischen Entwicklung immer länger: "Das kann sich niemand mehr merken", so Knappe. Daher sei "ein Stückchen Hardware" erforderlich, das der Nutzerin bescheinigt, wer sie ist. Im nächsten Schritt müsse die Nutzerin befähigt werden, ihre Post elektronisch zu signieren und kryptographisch zu verschlüsseln.
Dazu will die NBS Schulungen anbieten, Broschüren produzieren und einen regelmäßigen Blog betreiben, um das aktuelle Personal zu sensibilisieren und einen Beitrag zur digitalen Nachhaltigkeit zu leisten. Besonders wichtig ist jedoch auch der Nachwuchs: "Schülerinnen sollten die Digitalisierung als positiv erleben -- wenn die Schulungverwaltung ihre Daten verliert oder Dritte im virtuellen Schulunterricht irgendwelche unpassenden Inhalte einblenden, ist das nicht positiv, sondern womöglich verstörend", fürchtet Knappe und schlußfolgert: "Schulen müssen die kommende Generation dazu befähigen, angemessen mit den Risiken umzugehen. Eine Abiturientin sollte die Begriffe Risikomanagement und Datenschutzfolgenabschätzung erklären können. Die Absolventinnen natur- und geisteswissenschaftlicher Studiengänge sollten in der Lage sein, mit den jeweiligen Risiken ihres Fachs umzugehen und Datenschutzfolgenabschätzungen durchführen können. Nur so können sie verantwortungsbewusst ihre berufliche Laufbahn antreten."
So hofft die NBS auf Unterstützung von Verbänden aus Politik, Wirtschaft, Verwaltung -- sowie Wissenschaft, Forschung und Lehre -- grade die "Speerspitzen" künftigen Wohlstands seien besonders häufig mit Risiken konfrontiert; so müssten dort auch als Erstes Methoden zu deren Begrenzung entwickelt werden.
Zur Finanzierung dieser Initiative hofft Knappe auf Investitionen von Unternehmen, die mit der sicheren Digitalisierung Geld verdienen wollen; dazu sollen die Adressaten entscheiden, ob sie sich mit 50.000, 10.000, 5.000 oder 1.000 Euro beteiligen möchten um "Platin-", "Gold-", "Silber-" oder "Bronze"-Sponsor zu werden.