Mit <kes>+ lesen

Gestaltend statt getrieben : Wie Audits und Überregulierung obsolet werden könnten – eine Einführung in nachhaltige Digitalisierung

Dass eine IT-Sicherheitsorganisation im ständigen Krisenmodus agiert ist wohl eher die Regel als die Ausnahme. Kurzfristige Geschäftsinteressen und Anforderungen der Regulierung machen es den Expert:inn:en auch nicht gerade leichter. All das ist kaum als nachhaltig zu bezeichnen – dabei könnte gerade Nachhaltigkeit sowohl den allgemeinen Stresslevel senken als auch den Regulierern die Luft aus den Segeln nehmen, meinen unsere Autor:inn:en. Das käme letztlich allen zugute, fordert aber auch die Mitarbeit aller.

Lesezeit 7 Min.

Was würde es die Lebensqualität von IT-Sicherheitsverantwortlichen erhöhen, wenn sie sich fortan nur noch um die strategischen und operativen Fragestellungen der Sicherheit ihrer Organisationen kümmern könnten? Wie angenehm begänne ein Tag, an dem es einen Kaffee und ein Teammeeting gäbe, bei dem man die Kolleg:inn:en sieht und sich erst mal in Ruhe erkundigt, wie es ihnen so geht – wenn der Kopf einmal Kapazität hätte, sich ganz grundlegend zu fragen, welche Sicherheitsmaßnahmen vielleicht einer Optimierung bedürften.

Vielleicht könnte eine anstehende Migration sogar einen Vorlauf haben, der seinen Namen verdient – und bei dem man alle Konfigurationsschritte nacheinander und systematisch vornimmt. Vielleicht gäbe es noch eine Absprache mit den Kolleg:inn:en vom Supportteam und eine kleine Risikounterredung mit dem CEO. Kurzum: ein schönes Leben in großer Verantwortung für eine beherrschbare Fragestellung.

Stattdessen quälen wir uns von einem Audit zum anderen und die Prüfer:inn:en reichen sich die Türklinken in die Hand – ist ein Audit gerade abgeschlossen, klopft die interne Revision an. Und wäre da nicht noch ein Sicherheitsvorfall, dann würde auch die Cyberversicherung gern wieder einmal wissen, ob die Police so noch ausreicht.

Kurzum, die Realität ist: Wir sind Getriebene! Getrieben von Nutzer:inne:n, getrieben von Kriminellen und ihren stets besser werdenden Angriffsstrukturen – vor allem aber getrieben von der Regulierung.

Der Gesetzgeber nimmt für sich in Anspruch, ebenfalls die Nutzer:inne:n und die Kriminellen im Blick zu haben. Wie oft scheint den Praktiker:inne:n die Regulierung jedoch zum Selbstzweck zu verkommen? Wie oft behelfen wir uns mit Checklisten, mit vorformulierten Antworten, mit dem Recycling der Dokumentation vorhergehender oder gar letztjähriger Stellungnahmen? Und so manche:r fragt sich: „Was will der Gesetzgeber eigentlich von uns? Uns das Leben schwer zu machen, gelingt ihm jedenfalls.“

Ein „gutes“ Beispiel ist die EU Datenschutzgrundverordnung (DSGVO): ein bürokratisches Monster, so sagt man ihr nach. Kein Wunder also, dass nur das Allernötigste gemacht wird, dass viele jedes Schlupfloch zur Komplexitätsreduktion nutzen und plötzlich jeden einzelnen Vorgang als „legitimes Geschäftsinteresse“ deklarieren. Die ehemalige federführende EU-Kommissarin Viviane Reding wird bis heute nicht müde zu betonen, dass sie immer schon strikt gegen die Übergangszeit für Unternehmen war. In ihrer Keynote bei der Europäischen Datenschutzkonferenz #GDPR1 in Luxemburg wurde noch im Mai 2019 offenbar, wie wenig die sonst sehr wirtschaftsfreundliche Politikerin den Beteuerungen der Unternehmen Glauben geschenkt hat, sie würden in der eingeräumten Zeit alle nötigen Vorbereitungen treffen. Ihrer Meinung nach wäre es geboten gewesen, die DSGVO unmittelbar nach ihrer Verabschiedung in Kraft zu setzen. So kam es nicht – zwei Jahre Übergangszeit gab es und als dann der Stichtag 25. Mai 2018 näher rückte, stellte sich (dennoch) eine allgemeine Panik ein.

Am Ziel vorbei

Nachhaltig wäre es gewesen, im Wissen um das Inkrafttreten der DSGVO, vielmehr aber noch aus dem Verständnis für die Gründe und den Geist des damals gerade verabschiedeten Gesetzes heraus, rechtzeitig die eigene Sicherheitsdisposition eingehend zu überprüfen. Wer möchte denn eine Organisation repräsentieren, die personenbezogene Daten verliert oder solche Vorfälle bereitwillig riskiert? Wer möchte für die Sicherheit einer Organisation verantwortlich sein, die ihren Stakeholdern keinen Wert beimisst?

Nachhaltig zu digitalisieren bedeutet zuallererst zu verstehen, dass es hier in letzter Konsequenz immer um den Schutz von Menschen geht. Und wenn das Freiwilligkeitsprinzip nicht greift, dann schreitet eben der Regulator ein.

Schlechterdings führt das jedoch nicht zu einer Erkenntnis, sondern zur Fügung in einen administrativen Vorgang, der verständlicherweise jedem lästig ist – und der naturgemäß Kontrollen ineffektiv werden lässt. Allzu häufig verkommt die Compliance schlicht zu einem Kampf gegen das Erwischtwerden, anstatt ein Beitrag zu sein, Menschen in einer digitalisierten Umgebung nachhaltig Schutz zukommen zu lassen.

Ähnlich ist es auch jetzt noch bei den kritischen Infrastrukturen (KRITIS) und der entsprechenden Gesetzgebung: Obgleich die Schwellenwerte so hoch gesetzt worden sind, dass gerade einmal ein Minimum an KRITIS-Betreibern überhaupt von der Regulierung betroffen ist, haben auch diese die Übergangsfrist schonungslos abgewartet – oder schlicht versäumt zu bemerken, dass sie betroffen sind. Die übrigen lachen sich ins Fäustchen: Denn wo der Zwang fehlt, fehlt offenbar die Motivation. Zu fern ist die Einsicht, dass die Maßnahmen einen Minimalschutz der zu versorgenden Bevölkerung darstellen und dass eine Regulierung somit auch als Richtwert oder Unterstützung verstanden werden könnte.

Schlechter Status quo

Aber ehrlich: Sind CISO oder IT-Sicherheitsbeauftragte nicht ohnehin schon eher pausenlos Patchende, unterbesetzte Digitalfeuerwehr oder wahlweise der Prügelknabe einer jeden von der Geschäftsführung eingesetzten und anschließend an der Nase herumgeführten strategischen Unternehmensberatung, die einmal mehr Logistikketten per Blockchain optimieren oder Produktionsstätten durch künstliche Intelligenz automatisieren will, komme, was da wolle? Ist die Empfehlung, über den Sinn und den Ursprung eines Gesetzes nachzudenken, da nicht wirklich etwas realitätsfern?

Alternative: Nachhaltigkeit

Das Konzept, das IT-Sicherheitsexpert:inn:en dazu verhelfen soll, vom Getriebenen der Digitalisierungsvorhaben hin zu den Treibenden qualitativ hochwertiger Digitalisierung zu werden, heißt nachhaltige Digitalisierung. Wer bei einem Digitalvorhaben mit entsprechendem Expert:inn:enwissen das große Ganze im Blick hat und die Auswirkungen einer technischen Maßnahme auf die Unversehrtheit der Nutzer:innen einschätzen kann, muss im Sinne der Nachhaltigkeit von vornherein schon in die Konzeption eingebunden werden. „Security by Design“ ist ein Kernanliegen der nachhaltigen Digitalisierung.

Das bedeutet: Wer Menschen schützen will, braucht eine leistungsfähige, aber robuste und vor allem resiliente IT-Infrastruktur, eine starke Verschlüsselung der Dateninhalte und ein solides, konsequent zu Ende gedachtes Krisenmanagement. All das kann nicht nur eine rein technische Fragestellung sein: Vielmehr haben wir es hier mit einer organisatorischen, also einer strukturellen, prozessualen und letztendlich auch kulturellen Fragestellung zu tun. Um diese Strukturen in Prozesse einzubringen, muss von der Designphase an im Lebenszyklus eines Informationssicherheits-Managementsystems (ISMS) mit BusinessContinuity-Management (BCM) gedacht, umgesetzt und gelebt werden! Hierzu gehört eindeutig auch die Kommunikation mit allen Beteiligten, wie dem Management, den Mitarbeiter:inne:n, Dienstleistern, Betriebsleiter:inne:n et cetera sowie den Betroffenen, nämlich Kund:inn:en, externe Nutzer:inne:n und Partnern.

Das zweite Kernanliegen der nachhaltigen Digitalisierung ist „Privacy by Design“: Diese ist letztlich ein Versprechen an die von einer Digitalmaßnahme betroffenen Nutzer:innen, dem Datenmissbrauch durch die konsequente Einhaltung der Datenminimalisierung Einhalt zu gebieten. Hierbei ist es wesentlich, der heute allgegenwärtigen Datensammelwut eine strenge Bestimmungshürde entgegenzusetzen, bei der Betroffene befähigt werden zu beurteilen, ob sie ihre eigenen Daten auch wirklich freigeben möchten, ob ihnen die damit verbundenen Risiken verständlich sind und ob implizit auch Daten anderer Menschen mitbetroffen sind. Die Mündigkeit und die Souveränität, die sich in der informationellen Selbstbestimmung verwirklichen, sind Bestandteil der Nachhaltigkeit, unter deren Zeichen Digitalisierung vorgenommen, entworfen und betrieben werden sollte.

Fazit

Dass Digitalisierung der Megatrend unserer Zeit ist, bestreitet niemand mehr ernsthaft. Es gibt keine Institution, kein Unternehmen und keine Organisation, die sich nicht in der digitalen Transformation befindet oder sich überhaupt erst aufgrund der Digitalisierung gründen konnte. Wovon wir heute als Gesellschaft (weltweit) jedoch noch meilenweit entfernt sind, ist das allgemeine Bewusstsein für die Verantwortung, die damit einhergeht: Digitalisierung findet allerorten opportunistisch statt. Leidtragende sind die Nutzer:innen, die keinerlei Möglichkeit haben, sich vor dem allgegenwärtigen Datenhunger und vor den Fahrlässigkeiten in der Erstellung und dem Betrieb digitaler Maßnahmen zu schützen.

Mittelbar sind die Leidtragenden aber ebenso die IT-Sicherheitsexpert:inn:en, die trotz ihres Wissens um diese weithin zu kurz gedachten Digitalisierungsprojekte nicht gehört werden. So fügen sie sich ihrem Schicksal der Behebung der allerakutesten Problemlagen. Würde sich das Konzept der nachhaltigen Digitalisierung durchsetzen, wäre deutlich weniger Regulierung nötig, die zu den Feuerwehrtätigkeiten auch noch eine Bürokratisierung hinzufügt. Dies sind Bürden des Alltags wohl jeder CISO-Organisation – und das allein ist angesichts des Grundgedankens und der Notwendigkeit einer gut funktionierenden IT-Sicherheitsstruktur nicht hinnehmbar! Digitalisierung ist zu wichtig, als dass sie opportunistisch etabliert und nur notdürftig oder provisorisch intakt gehalten werden dürfte.

Nachhaltigkeit bedeutet, zukünftige Generationen im Blick zu haben. Diese Rolle sollte nicht nur beim Gesetzgeber liegen: Durch die Netzwerkeffekte einer interoperablen, digitalisierten und globalisierten Welt liegt die Verantwortung für Betroffene bei all denen, die einen hohen digitalen Wirkungsgrad anstreben: Jede:r von uns ist eine Komponente eines digitalen Netzwerks. Wir alle sind darum angehalten, uns zu fragen, was die intendierten Effekte und die Nebenwirkungen unserer Entwicklungen sind – wie wir Menschen unterstützen, begünstigen oder bereichern wollen, wo wir sie aber im Gegenzug auch schützen müssen. Denn eines ist klar: Datensicherheit ermöglicht Datenschutz. Datenschutz schützt aber nicht die Daten. Toxische Daten gefährden Menschen. Darum ist der Schutz von Daten immer der Schutz von Menschen.

Caroline Krohn ist IT-Sicherheitsexpertin für nachhaltige Wirtschaft und sichere Digitalisierung sowie unter anderem Gründerin und Sprecherin der Arbeitsgemeinschaft Nachhaltige Digitalisierung (www.agnd.eu). Manuel Atug ist IT-Sicherheitsexperte für kritische Infrastrukturen und unter anderem als @HonkHase im Netz aktiv.

Foto 1

Die frühere EU-Kommissarin Viviane Reding hatte sich gegen eine DSGVO-Übergangszeit für Unternehmen ausgesprochen (im Bild auf der Datenschutzkonferenz #GDPR1 – im Hintergrund: Caroline Krohn). Fehlte womöglich der Glaube an die Einsicht der Wirtschaft in die Anforderungen nachhaltiger Digitalisierung?

Diesen Beitrag teilen: