KITS-Konferenz
Made in Germany für IT-Sicherheit gefordert
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Neue Systeme und Lösungen für industrielle Sicherheit braucht das Land - die Chance für Deutschland, europäischer und vielleicht sogar weltweiter Vorreiter für derartige Security-Produkte zu werden. Die anwesenden Wirtschaftsvertreter betonten einhellig, dass die Branche diese Chance nicht ungenutzt liegen lassen dürfe. "Deutschland wird überall immer noch als das Land der Ingenieure wahrgenommen. Wir haben es in der Office-Welt verpasst, Security-Vorreiter zu werden - im Industriebereich sollten wir nun zügig voran gehen", forderte beispielsweise Schäfer.
Unterstützung erhielt er auch von Dieter Wegener, Head of Advanced Technologies and Standards, Industrie Sector bei Siemens, der im Besonderen die Security-Services als große Chance begreift: "Nicht die Produkte bringen mehr das Geld, sondern die Services!" Man dürfe nicht zulassen, dass amerikanische Konzerne die einzigen seien, die konkurrenzfähige (Web-/Security)Services aus der Tür brächten. Koeppen warnte jedoch davor, immer nur auf GoogleGoogle und Konsorten einzuschlagen, wenn deutsche Unternehmen selbst keine brauchbaren Alternativen anzubieten hätten. Alles zu Google auf CIO.de
Qualität steht über allem
Damit die Pläne Wirklichkeit werden, formulierte BSI-Vizepräsident (Bundesamt für Sicherheit in der Informationstechnik) Andreas Könen vier Ziele, die sich seine Behörde für die gesamte deutsche Behörden- und Unternehmenslandschaft auf die Fahnen schreibe. Es gehe erstens darum, neue Krypto- und Cybertechnologien zu entwickeln wie eine "Public-Key-Infrastruktur per One-Click", mit der verschlüsselte Kommunikation - sowohl zwischen Menschen als auch zwischen Maschinen - problemlos und schnell möglich sei. Zweitens soll die "digitale Souveränität" respektive "digitale Autonomie" gefördert werden - jedes Unternehmen, jede Forschungseinrichtung, jede Behörde soll jederzeit im Blick haben (können), wo welche Daten gespeichert sind und wer auf sie Zugriff hat. Diese Datenschutzmaxime sei Grundlage jeder sicheren Informationsverarbeitung.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Mithilfe von bereits vorhandenen und noch auszuarbeitenden Standards wie Common Criteria, DIN und ISO sollte drittens die Qualität von IT-Security-Produkten und -Services sichergestellt werden. Nur hochwertige Waren und Dienstleistungen brächten die Chance, das Siegel "made in Germany" auch für den Bereich IT-Sicherheit zu einer globalen Marke werden zu lassen. Viertens schließlich wies Könen darauf hin, dass das Notfall- und Krisenmanagement in deutschen Unternehmen häufig noch stark verbesserungswürdig sei. Wenn es um das zeitige Erkennen von Angriffen und die schnelle sowie angemessene Reaktion gehe, hätten viele Firmen Nachholbedarf.