Datensicherheit wird von deutschen und EU-Unternehmen so mehr und mehr auch als unique selling point gesehen

Interview mit Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des IGMR an der Universität Bremen und Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) über:

  • Die Bedeutung von und Gefahren für IT-Sicherheit in Unternehmen
  • Haftungsrisiken im Fall eines Cyberangriffes
  • Die aktuelle Gesetzgebung in China, das Chinese Cybersecurity Law und das neue chinesische Kryptografiegesetz

 

Was ist Ihrer Ansicht nach erforderlich, damit Deutschland bei der Datensicherheit den globalen Anschluss und die digitale Souveränität bewahrt?
Es sollten früh Anreize geschaffen und Vorgaben definiert werden, die flächendeckend für mehr Datensicherheit sorgen. Was das Thema anbelangt, stehen wir im Vergleich zu anderen Staaten weltweit gar nicht schlecht da – und sicher hat auch die EU Datenschutz-Grundverordnung etwas dazu beigetragen, indem wichtige Vorgaben wie Privacy by Design und Datenschutz durch Technikgestaltung definiert wurden. Datensicherheit wird von deutschen und EU-Unternehmen so mehr und mehr auch als unique selling point gesehen – eben als eine Investition, die nicht nur Kosten mit sich bringt, sondern auch Vorteile für Produkte und Dienste. Und immer mehr geht auch die deutsche und EU-Gesetzgebung in diese Richtung, zB mit dem EU Cybersecurity Act oder dem IT-SiG 2.0, das auch explizit Vorgaben zur Beförderung der digitalen Sicherheit für Verbraucher enthält. Wir sind hier wie gesagt auf einem guten Weg, aber auch noch längst nicht am Ziel angelangt, das zeigen zB Debatten um die Auswahl von Mobilfunkausrüstern im Bereich 5G. Gesetze können hier somit nicht alles erreichen, deshalb braucht es auch wieder mehr eigene Hard- und Softwareentwicklung in Deutschland und der EU.

Was sind derzeit die größten Gefahren für die IT-Sicherheit in Unternehmen?
Aus technischer Sicht gibt es immer eine Vielzahl unterschiedlichster Bedrohungsszenarien, die auf verschiedene Unternehmen zugeschnitten sind, sodass es schwierig ist, allgemein von den „größten Gefahren“ zu sprechen. Ein wichtiger und von vielen Unternehmen momentan noch zu wenig beachteter Punkt ist aber das Update von Betriebssystemen – und das meint nicht die Installation eines Updates, sondern das Bereitstellen. In Zukunft wird es für die Langlebigkeit und Haltbarkeit eines Produkts oder Dienstes immer mehr darauf ankommen, dass er regelmäßig geupdated wird – und das insbesondere unter dem Gesichtspunkt der Datensicherheit. Hier ist momentan noch viel Luft nach oben, man denke zB an das Android-Smartphone, bei dem nach nur wenigen Jahren der Support nahezu vollständig eingestellt wird.

Welche Haftungsrisiken bestehen im Fall eines Cyberangriffes, bei dem sich Dritte unrechtmäßig Zugriff auf sensible Daten verschaffen?
Die Haftungsrisiken sind vielfältig, und zivilrechtlich können Haftungsrisiken auch ohne vertragliche Beziehungen zwischen den Parteien bestehen, da Datensicherheit juristisch mittlerweile als Bestandteil der „im Verkehr erforderlichen Sorgfalt“ eines jeden Unternehmens gesehen werden kann. Darüber hinaus schreiben Gesetze natürlich auch Verwaltungssanktionen fest, sollte es beispielsweise zu einem Verstoß gegen das BSI-Gesetz für KRITIS oder gegen die EU DS-GVO kommen, soweit personenbezogene Daten verarbeitet werden. Theoretisch kann so gesehen jedes Unternehmen betroffen sein. Schwerwiegender als die juristischen Folgen sind jedoch mit Sicherheit die wirtschaftlichen Folgen, die aus „data breaches“ folgen können, denn welches Unternehmen verarbeitet heutzutage denn nicht auch (sensible) personenbezogene Daten. Die Kunden haben mehr und mehr auch ein IT-Sicherheitsbewusstsein, und niemand möchte seine Daten einem unsicheren Hersteller oder Diensteanbieter anvertrauen.

Welche Auswirkungen hat die aktuelle Gesetzgebung in China, das Chinese Cybersecurity Law und das neue chinesische Kryptografiegesetz auf Deutschland und Europa?
Vor einigen Jahren konnte man ja durchaus noch als Unternehmen die Auffassung vertreten, dass man nur der nationalen, oder höchstens noch der EU-Gesetzgebung Beachtung schenkt. Das hat sich aber mit globalen Warenketten und Datenströmen grundlegend geändert. Und das betrifft nicht nur Großkonzerne, sondern vermehrt auch KMU, die eine Geschäftstätigkeit im Ausland, zB in der Volksrepublik China, entfalten. Die von Ihnen genannten Gesetze haben umfassende Auswirkungen auch auf deutsche Unternehmen, zB unter dem Gesichtspunkt des Datenschutzes, des transnationalen Datentransfers, welche Produkt in China vertrieben und eingesetzt werden dürfen, und wie die eigene IT vor Ort aufzustellen ist. Die Sprachbarriere und das unterschiedliche Verständnis von Gesetzgebung erschwert hier vielfach zusätzlich den Zugang zum chinesischen IT-Recht.

Verraten Sie uns: Nutzen Sie die „Corona-App“ der Bunderegierung?
Tatsächlich nutze ich die App, installiere sie aber nicht auf jedem Endgerät. Zwar wurde der Sourcecode der App offengelegt und geprüft, wichtig sind aber auch die Schnittstellen zu Google und Apple, die zentraler Bestandteil der Funktionsweise der App sind, und die so gesehen noch eine „Blackbox“ sind. Wenn ich also beispielsweise im beruflichen Kontext verreise, führe ich die App bei mir, im privaten Bereich bleibt das Smartphone aber abgeschaltet.

Dr. Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer des IGMR an der Universität Bremen und Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin sowie Geschäftsführer der Certavo GmbH – international compliance management. Er ist Autor zahlreicher Publikationen zur Cybersecurity und zum Datenschutz und Alleinherausgeber des Rechtshandbuches Cybersecurity im Beck-Verlag. Dr. Kipker hatte Forschungsaufenthalte unter anderem in Tokyo, Moskau, Nizza, Dar es Salaam, Jerusalem, Peking und Los Angeles, zudem zahlreiche Beratungs- und Gutachtertätigkeiten, unter anderem für die Max-Planck-Gesellschaft, die Deutsche Gesellschaft für Internationale Zusammenarbeit, das Bundeswirtschaftsministerium, das Bundesfinanzministerium und das Bundesministerium der Verteidigung.