Gebäudemanagement per KI schützen
Datenschutz nicht auf die leichte Schulter nehmenWussten Sie schon, dass Sie Ihr Gebäudemanagement nachweisbar per KI schützen müssen? Die technischen Systeme, die mit dem WWW vernetzt werden, sind anfällig für vielerlei Bedrohungen. Daher bedarf es eines umfassenden Sicherheitskonzepts – gerade auch in der Gebäudeautomation und im Gebäudemanagement.
Im Sommer 2014 ist ein „Switch“ des Herstellers Netgear durch hardcodierte Standardpasswörter aufgefallen: Der Benutzername des Netzgeräts soll „ntgruser“, das Passwort „debugpassword“ gewesen sein. Das bedeutet: Das Passwort ist in der Firmware fest verdrahtet, der Nutzer kann die Zugangsdaten nicht verändern. Für die gemeinnützige Sicherheitsorganisation OWASP ist es „beinahe sicher, dass bösartige Nutzer Zugang zu dem fraglichen Benutzerkonto erhalten werden“. Duo Security wies auf die Möglichkeit „massiver Angriffe“ hin, wenn alle Netgear-Geräte die gleichen Zugangsdaten hätten. Im März 2018 wurde empfohlen, Lücken in 8,5 Mio. Cisco-Switches zu stopfen. Ob es sich dabei um alle Geräte von Cisco handelt, ist nicht bekannt. „Massive Angriffe“ scheinen durchaus möglich. Andrew Ginter von der Firma Waterfall Security rät Kleinunternehmen, Geräte mit fest verdrahteten Zugangsdaten gleich ganz zu entsorgen. Switches werden in Firmennetzen eingesetzt; im „WWW“ sind Router notwendig.
Im Mai 2018 warnte ein Sicherheitsunternehmen vor hardcodierten Passwörtern in „hunderttausenden“ Routern des chinesischen Herstellers ZTE, die allein in Großbritannien rumstehen sollen. Demnach würde der Besuch einer infizierten Internetseite ausreichen, um den Router zu infizieren. Man müsse das Opfer nur dazu bringen, einen Link zu öffnen.
Im Juli 2018 hieß es, dem Internet-Dienstleister DomainFactory (DF) seien Daten von „tausenden“ Kunden gestohlen worden. Auch wegen Fehlern in der Datenbank – Bildungsmängel und kriminelle Energie befruchten sich gegenseitig. Durch die technische Entwicklung seit 2014 ist das Risiko gestiegen, Daten von Mitarbeitern, Kunden oder Lieferanten „unbeabsichtigt oder unrechtmäßig“ offenzulegen: Im dritten Quartal 2014 soll die durchschnittliche Download-Geschwindigkeit in Deutschland 8,7 Megabit pro Sekunde (Mbps) betragen haben – so wirbt ZTE heute mit einer Datengeschwindigkeit von bis zu 300 Mbps und der Fähigkeit, „Dinge“ ans Internet (IPv6)anzuschließen. 300 Mbps – das scheint aktuell die Messlatte von Telekom und Vodafone zu sein. Das macht Dampf: Angenommen, die DF-Kundendatenbank wäre 1 Gigabyte groß, hätte die Übertragung vor vier Jahren 15 min und 20 s benötigt. Bei 300 Mbps dauert die Übung dann noch 27 s. Telefonica hat jedoch bereits die nächste Mobilfunkgeneration ‚5G‘ im Blick: Da bleiben dann nur 8 s, um die unfreiwillige Datenübertragung abzubrechen.
Die Lobbyisten der Breitbandindustrie verlangen sogar noch eine staatliche Förderung für die Verlegung von Glasfaser bis ins Haus. Mit dem IPv6 wird zudem die Voraussetzung geschaffen, jedem Bundesbürger Trilliarden von IP-Adressen zur Vernetzung „intelligenter“ Schrauben mit ebensolchen Büroklammern zur Verfügung zu stellen. Allein aus den Metadaten eines solch schlauen Geräts – unserer „Lebenswanze“ namens „Smartphone“ – lässt sich allerlei schlussfolgern: unsere Stimmung, Stressniveau, Persönlichkeitstyp, manisch-depressive Erkrankungen, demographische Daten (Geschlecht, Ehestand, Beschäftigungsverhältnis, Alter) Rauchgewohnheiten, allgemeines Wohlbefinden, Schlafrhythmen, Art und Häufigkeit körperlicher Bewegung und der Grad einer etwaigen Parkinson-Erkrankung, Freizeitbeschäftigungen und Partnerschaften. Liegen jetzt Metadaten von ganzen Personengruppen, Werkstücken, Werkzeugen, Maschinen, Anlagen, Roh-, Hilfs- und Betriebsstoffen und deren millimeter- sowie sekundengenauen Aufenthaltsorten vor, könnte die Detailtiefe substantiell zunehmen: Die vielen Daten ermöglichen es der Unternehmensleitung, „wichtige Entscheidungen zu fällen und so die Qualität von Produkten, Dienstleistungen und der Unternehmensstrategie zu erhöhen“ – schreiben indische Wissenschaftler.
Die Leipziger 2bAHEAD GmbH propagiert die menschliche Kommunikation mit Maschinen per „Sprache, Mimik, Gesten und schließlich Gedanken“ – wie in der Fertigung von Porsche. Microsoft hat sich seine Lösung dazu schon mal patentieren lassen. Wer Zugang zu diesen Daten hat, kann womöglich aber auch vorhersagen, was der Mensch in Zukunft tut. Oder ihn so manipulieren, dass er tut, was er tun soll.
Eine weitere Studie zum „Smart Building 2030“ kommt zum Ergebnis: „Der Handwerksbetrieb, der sich bis Mitte der 2020er Jahre nicht in die Lage versetzt, Aufträge digitaler Agenten entgegenzunehmen, wird sich perspektivisch sehr schwer tun.“ Tolle Möglichkeiten: Die Daten sollen gar die Voraussetzung dafür schaffen, „die Zukunft vorherzusagen“. Oder einem Patienten mit Sprachstörung die Stimme wiederzugeben. Dazu soll der Sprachcomputer nur eine Sprechprobe von wenigen Sekunden benötigen. Die entscheidende Frage ist: Wer hat Zugang zu den Daten?
Der nämlich hat die Macht – nicht nur Mails und Fingerabdrücke, sondern auch Stimmen und „Selfies“ lassen sich angreifen, manipulieren, kopieren. Es droht der KI-basierte biometrische und multimediale Identitätsdiebstahl. Also Vorsicht, wenn Sie glauben, Ihren Kunden im Türspion zu erkennen! Und: (Kriminelle) Botnetze hindern ihre Opfer daran, auf ihre Daten zuzugreifen, um so Geld zu erpressen.
Den Datenhandel besorgt die niederländische Regierung seit 2012. 2017 wurde berichtet, dass 8,7 Mrd. Personenprofile illegal angeboten werden sollen. Tatsächlich geht’s den Geheimdiensten, eigenem Bekunden zufolge, mithilfe des Internets der Dinge auf die „andauernde Überwachung der Massen“. Blöd ist, wenn das die Falschen tun: Die USA verdächtigen nach Medienberichten China, „detaillierte Profile“ von Privatpersonen zu erstellen, um „leitende Beamte der US-Regierung zu erpressen“. Kein Wunder: Peking lässt keinen Zweifel daran, dass sie alles von ihrem eigenen Milliardenvolk fürs „Social Scoring“ sammeln – warum sollten sie dann nicht die paar hundert Millionen Datensätze ihrer wichtigsten Geschäftspartner gleich mitnehmen? Bei aller Kritik an diesem Ansinnen sollte jedoch nicht vergessen werden: Die US-Geheimdienste selbst erheben den Anspruch, „jede von Menschen generierte Information“ verarbeiten zu können. Erpressbar werden Menschen etwa durch kompromittierendes Material – Videos oder Krankenakten. Das scheint regelrecht produziert und in Datenbanken angeboten zu werden. Um sich Peinlichkeiten zu ersparen, werden die Opfer zum „Innentäter“ und nutzen ihre Rechte im System, um für ihre Auftraggeber zu spionieren oder zu sabotieren.
Nicht immer ist überhaupt menschliches Zutun erforderlich: In der Medizin, der Autoindustrie und beim Militär sind tödliche Unfälle zu beklagen . Roboter sind unzureichend geschützt und ließen sich von „außen“ manipulieren oder sogar herumfahren. Anfällig soll auch die Produktion sein, die die Roboter fertigen: Geringe Abweichungen entfalten eine explosive Wirkung: In einem geheimdienstlichen Meisterstück ließen sich Russische Geheimdienste 1981 einen manipulierten Chip von ihren US-„Kollegen“ andrehen – der Chip passierte die Wareneingangskontrollen, versagte aber – planmäßig – den Dienst an seinem Bestimmungsort, einer Gasleitung. Letztere explodierte, Westeuropa erhielt kein Gas mehr und die Sowjetunion weniger Devisen.
Heute müssen keine Chips mehr per Luftfracht verschickt werden – es reicht, die Löcher auszunutzen, die in Hard- und/oder Software ohnehin schon vorhanden sind: Die Anzahl von Verwundbarkeiten in industriellen Anwendungen soll sich von 2016 auf 2017 verdoppelt haben. Deshalb sind Sicherheitsberater davon überzeugt, dass die „Industrie 4.0“ ein Hauptangriffsziel werden wird. Diese Fehler addieren sich zu denen der Telekommunikation: Die EU-Cybersicherheitsbehörde warnt vor „extremen“ Gefahren bei 5G: 1 Mio. Glasfaser-Router sollen „leicht“ angreifbar sein, während es die Betreiber der Botnetze offenbar gar nicht abwarten können, ihre Schlagkraft drastisch zu erhöhen.
Es scheint also lediglich eine Frage der Zeit zu sein, bis künstlich intelligente Botnetze die Kraft breitbandig vernetzter Dinge nutzen, um die reale Welt zu bedrohen . Bislang scheinen die potentiellen Opfer noch nicht sonderlich von der Gefahr beunruhigt zu sein: Viele Unternehmen sollen neue Technik einführen, ohne die Risiken zu klären. Gütesiegel für Software gibt es nicht, die Implementierungen sind fehlerhaft, die ‚Admins‘ kommen beim Stopfen der Löcher nicht nach, und nur 56 % der Anwender sollen tatsächlich „komplexe“ Passwörter benutzen. Das Personal ist „Top-Quelle für Datenpannen“. Die Digitalisierung und die Verbreitung von „Intelligenz“ in Sensoren und Systemen erhöhen das Risiko, Daten einzubüßen.
Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO): Der, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, „ist für die Einhaltung“ von Artikel 5, Absatz 1 „verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“. Dieser Absatz 1 verlangt zunächst nach Definition den Zweck der Datenverarbeitung – und diese Definition ist dann auch bindend! Nicht notwendige Daten dürfen gar nicht erst erhoben werden und die erhobenen Daten müssen nicht nur korrekt sein, sondern auch wieder gelöscht werden, sobald der Zweck erfüllt ist. Und der Verantwortliche muss eine „angemessene Sicherheit“ der personenbezogenen Daten gewährleisten. Als „angemessen“ gilt das Schutzniveau, wenn der Verantwortliche „Art“, „Umfang“, „Umstände“, die „Zwecke der Verarbeitung“ sowie die unterschiedliche „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigt. Denn die Risiken, die mit einer Offenlegung personenbezogener Daten – egal „ob unbeabsichtigt oder unrechtmäßig“ – verbunden sind, können der Verordnung zufolge zu einem „physischen, materiellen oder immateriellen Schaden“ führen. Dieser wiederum kann in einer „Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust“ oder einer „Rufschädigung“ enden.
Deshalb ist der „Stand der Technik“ (SdT) in die Überlegungen zum angemessenen Schutzniveau einzubeziehen. Das Justizministerium definiert den Begriff so: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen […] müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein“. Der Regierung ist also das Beste gerade gut genug, was der Markt an ‚technischen und organisatorischen Maßnahmen‘ (TOM) hergibt. Dieses Angebot ändert sich – genauso wie die Risiken! – ständig und der Verantwortliche muss ein System nachweisen, mit dessen Hilfe er die Sicherheit seiner Datenverarbeitung ständig auf diesem Niveau hält.
Die Messlatte SdT ist in vielen Details von Bedeutung:
1. Der eco Verband der Deutschen Internetwirtschaft warnt davor, die Gefahr der Profilbildung zu unterschätzen. In der Tat: Gerade die Personalabteilung könnte ein Interesse an den Gedanken haben, die dem Mitarbeiter so (nicht) durch den Kopf gehen. Der Austausch der Daten zwischen dem Gebäudemanagement und der Personalabteilung würde jedoch der Zweckbindung widersprechen. Die Verwendung von Profilen ist nur unter bestimmten Umständen erlaubt. Wer Daten tauschen will, muss diese erst „ anonymisieren“.
Dazu reicht es jedoch nicht, auf das Nennen von Name, Geburtsdatum und Wohnort zu verzichten – die Firma Datarella behauptet: „Eine Anonymisierung, z.B. dadurch, dass man die Userkennung oder die IP-Adresse löscht, ist nicht möglich. Wie ein Fingerabdruck können wir über die Spur identifiziert werden, die wir in den Daten hinterlassen.“ Datenschützer empfehlen daher, „keine eindeutigen Merkmale“ zu speichern. Wer beim Anonymisieren schlampt und seine ihm vertrauenden Mitmenschen verpetzt, hat 72 h Zeit, die Datenschutzverletzung seiner Aufsichtsbehörde zu beichten. Reicht diese Frist nicht, ist das zu begründen. Beim erfolgreichen Anonymisieren könnte womöglich eines dieser Werkzeuge behilflich sein.
2. Die DSGVO setzt die „Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“ voraus: Diese beiden und jede „Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten“. Das Gebäudemanagement sollte also definieren, wer Ausweise für (externe) Mitarbeiter, Lieferanten und Besucher ausstellt, welche (Zutritts-)berechtigungen zu Räumen und technischen Geräten damit verbunden sind und zu welchen Tages- und Jahreszeiten diese beansprucht werden können. So könnte der Verantwortliche in Rechtfertigungszwang geraten, wenn ein Kranker an seinen Arbeitsplatz gelangen kann oder in dieser Zeit per Handy Zugriff auf die vernetzte Produktionsmaschine hätte.
3. Der Gesetzgeber verlangt die TOM, um „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Praktiker kritisieren das als zu schwammig und empfehlen, die ISO 27002 als Hilfe bei der Umsetzung heranzuziehen. Der Rechtsanwalt Roland Schellwald zählt eine ganze Batterie von Kontrollpflichten auf, die damit verbunden sind.
4. Absoluten Schutz kann es jedoch nicht geben – daher muss jeder Unternehmer mithilfe des Risikomanagements das „angemessene“ Schutzniveau ermitteln; das hängt „insbesondere“ mit Risiken zusammen, die „durch Vernichtung, Verlust oder Veränderung“ entstehen können, egal, „ob unbeabsichtigt oder unrechtmäßig oder durch unbefugte Offenlegung von [...] personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“. So gibt es Ärzte, die ihre Netzhaut am Eingang ihrer Praxis scannen, um dadurch nicht nur die Praxis selbst zu öffnen, sondern auch noch 22 Rechner gleichzeitig mit den Patientenakten zu starten. Andere möchten womöglich das Licht am Arbeitsplatz per Bluetooth steuern. Unterschiedliche Risiken verlangen nach einem unterschiedlichen Schutzniveau. Dieses ist in allen Aspekten – etwa den TOM, der Anonymisierung und dem Berechtigungsmanagement – umzusetzen.
5. „Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ der TOM soll darüber hinaus „zur Gewährleistung der Sicherheit der Verarbeitung“ beitragen. Der Verantwortliche muss systematisch die Risiken erfassen und bewerten, die sich aus der Evolution auf Angreiferseite ergeben – etwa, dass KI genutzt wird, um menschliche und technische Schwächen automatisiert zu missbrauchen. Erschwerend kommt hinzu, dass sich Kriminelle gegenseitig „Fortbildung“ anbieten.
Einen (sogar kostenlosen!) „Web Server Security Test“ bietet die „High Tech Bridge“, eine – so das Selbstverständnis – „Web Security Company“, an: Da kann man eine Internetseite angeben und die Maschine spuckt anschließend einen detaillierten Bericht zur Sicherheit der Seite aus. Die Kunden scheinen mit dem Dienst zufrieden zu sein: Vom Marktforscher Gartner erhielt der Test von 15 Kunden 4,7 von 5,0 möglichen Sternen. Die israelische Cronus Cyber Technologies hat von der nicht kommerziellen Organisation Crest ein Zertifikat für seine automatisierten und kontinuierlichen Penetrations-Dienstleistungen erhalten. Und ein Werkzeug namens X-Vigil soll „kritische Konversationen“ in sozialen Medien sowie dem Dunklen Netz („Darknet“) verfolgen und die Bedrohung einschätzen, die sich daraus für die Systeme des Kunden ergibt.
Anwender müssen lernen, ein Gespür für die Plausibilität und Vertrauenswürdigkeit elektronischer Nachrichten zu bekommen – merke: Nicht jeder, der Dir schreibt, ist auch Dein Freund! Die Systematik dieser Entwicklung muss das Risikomanagement abbilden. Die KI ist offenbar Stand der Technik – somit kann vom Gebäudedienstleister – unter Berücksichtigung des Schutzbedarfs – der Nachweis verlangt werden, dass er seine Systeme mit KI geprüft hat; denn KI soll auch Wege finden, die dem Menschen auf den „ersten Blick“ verborgen bleiben.
6. Weiterhin ist es nach DSGVO erforderlich „die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Auch dafür gibt’s eine Menge Hilfe.
In einem „Verzeichnis von Verarbeitungstätigkeiten“ sind die Datenverarbeitungen zusammenzufassen. „Dieses Verzeichnis enthält sämtliche folgende Angaben“:
a) den Namen und die Kontaktdaten des Verantwortlichen [...];
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern [...];
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation [...];
f) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) eine allgemeine Beschreibung der TOM zum Schutz der Daten.
Einen besonderen Leckerbissen stellt die Datenschutzfolgenabschätzung (DSFA) dar: „Voraussichtlich“ „hohe“ Risiken verpflichten zu dieser Maßnahme, die „zumindest Folgendes“ enthält:
a) eine „systematische Beschreibung“ der Verarbeitungsvorgänge und -zwecke;
b) „eine Bewertung“ von Notwendigkeit und Verhältnismäßigkeit „in Bezug auf den Zweck“;
c) „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1“ und
d) „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.
Die Datenschutzkonferenz – eine Institution der Aufsichtsbehörden in Bund und Ländern – hat eine Liste von Datenverarbeitungen vorgelegt die dieses Kriterium erfüllt; demnach verpflichtet auch die „umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen“ zur Durchführung einer solchen DSFA. Abschließend ist diese Liste jedoch nicht – allgemein lässt sich feststellen, dass eine DSFA umso notwendiger wird,
a) je mehr Daten über eine Person gesammelt werden,
b) je mehr Personen davon betroffen sind und
c) je größer der technische Aufwand dazu ist. Begriffe wie „smart“, „tele-“ oder „4.0“ könnten Hinweise auf ein erhöhtes Risiko sein.
Das gilt umso mehr bei der „Verarbeitung besonderer Kategorien personenbezogener Daten“: Darunter fallen Daten, die Aufschluss über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit […], genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“ geben können. Da stellt sich dann die Frage, ob es nicht besser ist, auf die Erfassung dieser Informationen ganz zu verzichten – wenn sie denn überhaupt erlaubt ist. Wenn das der Fall ist, empfiehlt der Gesetzgeber, „angemessene Garantien“ abzugeben.
Geht aus der DSFA hervor, dass die Datenverarbeitung ein hohes Risiko nach sich zöge, wenn der Verantwortliche keine Maßnahmen zur Eindämmung trifft, konsultiert der Verantwortliche seine Aufsichtsbehörde. Diese kann schriftliche Empfehlungen erteilen oder ein „ Verbot“ verhängen.
Für Verstöße gegen die Verordnung drohen Geldbußen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Sprich: Bis zu 20 Mio. € Euro oder 4 % vom Jahresumsatzes – „je nachdem, welcher der Beträge höher ist“. Bei deren Verhängung berücksichtigt die Aufsichtsbehörde „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“.
Hinzu kommen mögliche Schadenersatzforderungen – das Schlupfloch: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung [...] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ „Auftragsverarbeiter“ – eine wichtige Vokabel: Spannt der Verantwortliche einen externen Dienstleister – etwa ein Systemhaus zur Einrichtung von Informationstechnik – ein, muss er den zur Implementierung der Forderungen gemäß DSGVO vergattern. Ähnlich wie das mit den Arbeitsverträgen seiner Mitarbeiter ist. Darüber hinaus haftet der Verantwortliche für Lücken in Hard- und Software, die er bei Dritten einkauft. Die Bundesbeauftragte für den Datenschutz empfiehlt insbesondere den Anwendern proprietärer Software, sich bei ihren Lieferanten um entsprechende Dokumentationen zu bemühen, um ihrer Rechenschaftspflicht zu genügen. Die Anwender von Freier Software tun sich hier leichter, weil sie durch den freien Zugang zum Quellcode die notwendigen Dokumentationen theoretisch sogar selbst erstellen können.
Zusätzlich drohen Abmahnungen – unklar ist jedoch, ob tatsächlich nur Verbraucher- und Datenschutzverbände abmahnberechtigt sind oder auch Wettbewerber. Die könnten einen „unlauteren Wettbewerb“ geltend machen.
In jedem Fall sollte sich der Verantwortliche darüber im Klaren sein: Seine Lieferkette muss er verpflichten, wenn er nicht in Mithaftung genommen werden möchte. Und es ist darüber hinaus sicher eine gute Idee, auch bei den Kunden für das Einhalten der DSGVO zu sorgen – der Verantwortliche (Unternehmer) gehört nämlich gegenüber seinen Kunden zu den „ nachrangigen Insolvenzgläubigern“, wenn diese in Zahlungsschwierigkeiten geraten und muss in einem etwaigen Insolvenzverfahren mit den übrigen Angehörigen dieser Spezies um die Aufteilung der „ Insolvenzmasse“ streiten. Das wird sich auf das Verhalten derer niederschlagen, die Eigen-/Fremdkapital, Versicherungen oder Warenkredite anbieten, Geld anlegen oder in anderer Weise am Finanzmarkt tätig sind: Jeder muss sich fragen, ob er sein Geld wiedersieht. Jeder Schuldner steht in Verdacht, seine Forderungen nicht mehr bedienen zu können. Wer das Risiko reduzieren will, vom Kapitalmarkt verschmäht zu werden, kann sich Gedanken darüber machen, ob er sein Unternehmen einer Datenschutz-Zertifizierung unterziehen möchte. Außerdem kann er sich sein Sicherheitsniveau von Dienstleistern wie BitSight Technologies bescheinigen lassen – das Unternehmen sammelt eigenen Angaben zufolge „Terabytes“ von (nicht) öffentlichen Sicherheitsinformationen aus tausenden (kompromittierten) Unternehmen sowie seiner Kunden weltweit und erstellt daraus einen Bericht, der dem Kunden Aufschluss darüber gibt, wie das eigene Sicherheitsniveau im Vergleich zu seiner Branche dasteht. Dabei werden auch das Nutzerverhalten und die Sorgfalt berücksichtigt, mit der sich das zu prüfende Unternehmen mit seinen öffentlich sichtbaren Geräten und Angeboten präsentiert. Diese Sicht von „außen“ ist wichtig: Milliarden Menschen können sich die Präsentation des Unternehmens ansehen – und einige unfreundliche Akteure suchen mithilfe von künstlich intelligenten „Schwachstellen-Scannern“ nach Löchern.
Wir benötigen ein System vernetzter Sicherheit: Wir müssen – flächendeckend, systematisch, pro-aktiv! – investieren in Sicherheits-/Notfallkonzepte, physikalischen Einbruchschutz, elektronische Signaturen, kryptographische Verschlüsselungen, Berechtigungskonzepte, herstellerunabhängige Zertifikate für Produkte, Dienstleistungen und „Apps“ sowie rollenspezifische Bildung für alle: Das trifft nicht nur die Curricula derer, die aktuell oder künftig auf den Chefsesseln Platz nehmen, sondern auch die in ihrem Auftrag Software entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
Bislang verweigern sich die verantwortlichen Bildungspolitiker und die Hochschulrektorenkonferenz dieser Diskussion: Deutschland sicher im Netz e.V. empfiehlt, 10 % einer jeden Vorlesung in der Informatik auf die Informationssicherheit zu verwenden. Richtet sich das an die künftigen Kryptographen? Oder an die Robotik, graphische Datenverarbeitung? Und welche Inhalte sind dann jeweils zu vermitteln? Wie können diese Inhalte systematisch aktuell gehalten werden? Wenn wir dann mit der Informatik fertig sind, kommt die Elektrotechnik, das Bauingenieurwesen – und am Ende Ärzte, Anwälte und Steuerberater. Einschließlich ihr nicht akademisches Personal.
Wer Deutschland (oder gar Europa) 4.0 will, muss für Sicherheit 4.0 sorgen. Alles andere ist grob fahrlässig!
Literatur
„Vernetzte Gesellschaft. Vernetzte Bedrohungen. Wie uns die künstliche Intelligenz herausfordert“, Joachim Jakobs, 2015Den Text mit allen Verlinkungen finden Sie online auf www.tab.de unter Eingabe des Web-Codes „TAB3AK6PU“.