Von der Prävention zur Cyber-Resilienz
Auf den BvD-Verbandstagen 2024 diskutierten rund 250 DSB über die Chancen, möglichen Cyber-Attacken bereits im Vorfeld zu begegnen.
Die Digitalisierung hat rasant an Fahrt aufgenommen, ebenso die Regulierung durch den europäischen Gesetzgeber. „Das geschieht in einem Tempo, das wir bisher nicht kannten“, sagte BvD-Vorstandsvorsitzender Thomas Spaeing zum Auftakt der BvD-Verbandstage 2024 in Berlin. Doch das Tempo ist nicht das Problem. Denn Thomas Spaeing sieht sich wie auch der scheidende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber als „Digitalisierungsfan“. Er wolle die „großartigen neuen Technologien“ durchaus fördern, sagte Kelber in seiner Keynote auf den Verbandstagen. Gleichzeitig müsse aber der Datenschutz von Anfang an mitgedacht werden.
Die Mahnung ist nicht neu: Data Protection by Design ist ein von Aufsichtsbehörden wie Datenschutzbeauftragten immer wieder angemahntes Prinzip, verankert in der Datenschutz-Grundverordnung (DSGVO). Noch zu wenige Start Ups und Firmen, die mit datengetriebenen Innovationen auf den Markt gehen, berücksichtigten dies, fand Kelber. Dabei gebe es mittlerweile Anonymisierungsverfahren, die gerade kleinen und mittelständischen Betrieben ein Datenfundament liefern, aber den Personenbezug auflösten.
Diese „Privacy Enhancing Technologies“ (PET) könnten aber nur so gut sein, wie sie von Anfang an in die Entwicklung einbezogen würden, mahnte Kelber. „Schon in der Planungsphase werden die ersten Fehler gemacht“, kritisierte er. Viele würden zunächst alle ihnen zur Verfügung stehen den Daten für das Produkt nutzen, die Anonymisierung des Personenbezugs solle dann zum Schluss erfolgen. „Irgendwann stellen die Unternehmen aber fest, dass die Anonymisierung ganz schön schwierig ist“, sagte Kelber. Nicht selten würden Daten anonymisiert, indem man weitere Daten heranziehe.
Zwar seien die PETs „keine Wundermittel“. Zudem müssten sie immer auf den konkreten Anwendungsfall zugeschnitten werden. Bei korrektem Einsatz böten sie aber Unternehmen viele Erkenntnisse. Als vielversprechende Techniken sieht Kelber unter anderem die homomorphe Verschlüsselung, die Multi-Party-Computation und den Einsatz synthetischer Daten. Die Anwendungen stecken teils noch in den Kinderschuhen. Dennoch wolle er „diese großartigen neuen Technologien“ zeigen. „Es muss viel mehr getan werden, damit sich diese Technologien mehr verbreiten“, forderte Kelber.
Patrick Breyer: „Beim Datenschutz war ich eine Nervensäge.“
Patrick Breyer von der Piratenpartei berichtete über Tendenzen in der EU, mit der geplanten Verordnung zur Verhinderung und Bekämpfung von Kindesmissbrauch die sogenannte Chatkontrolle und die Vorratsdatenspeicherung einzuführen. Breyer gehörte seit 2019 dem EU-Parlament an und hatte seinen Rückzug vor der Europawahl im Juni 2024 bekanntgegeben. „Beim Datenschutz war ich eine Nervensäge“, eröffnete der Datenaktivist seinen Keynote auf dem Verbandstag. Er verstehe sich als „digitaler Freiheitskämpfer“, der für sich und sein Team in Anspruch nimmt, den Begriff Chatkontrolle erfunden zu haben.
Gegen diese habe er den Großteil seiner Kapazitäten als EU-Abgeordneter eingesetzt, berichtete Breyer. Am Ende konnte er das EU-Parlament davon überzeugen, dass die Chatkontrolle mehr Schaden als Nutzen bringe. Das Ergebnis sei ein gemeinsamer Erfolg der Zivilgesellschaft – allein der EU-Rat verfolge weiterhin die massenhafte Kontrolle privater Räume. Deshalb steht Breyer auch den möglichen Trilog-Verhandlungen kritisch gegenüber. Häufig habe das Parlament in diesen Verhandlungen auf die Linie der EU-Kommission eingelenkt.
Als „rote Linie“ bezeichnete der Piraten-Politiker Forderungen der EU-Kommission nach einer Vorratsdatenspeicherung auf EU-Ebene. Damit drohe eine Verwässerung des jetzigen Schutzstandards. Trotz ihres Verbots in Deutschland durch das Bundesverfassungsgericht könne Deutschland allein eine mögliche Entscheidung auf EU-Ebene nicht aufhalten. Laut Breyer steht die Diskussion auf der Agenda der neuen EU-Kommission.
Skeptisch äußerte sich Breyer auch zu den jüngsten Äußerungen der EU-Kommission zum digitalen Euro. Grundsätzlich halte er das für eine „Super-Idee“. Denn mit digitalem Bargeld könnten die Verbraucher – anders als beim Bezahlen mit Kreditkarte oder über Zahldienstleister – wie beim Bargeld anonym bezahlen.
Jetzt allerdings wolle die EU-Kommission den digitalen Euro nur noch mit einem Konto und per Ausweiskontrolle als Bezahlmittel erlauben. Zudem soll es laut Breyer ein Limit von 10.000 Euro für einzelne Zahlungsvorgänge geben, anonym von maximal 3.000 Euro.
„Das ist der Krieg gegen das Bargeld“, sagte Breyer. Es werde in Brüssel nicht anerkannt, dass es ein berechtigtes Interesse an einer finanziellen Privatsphäre gebe. „Wenn der digitale Euro kommt, ist er nur eine Alternative zu bestehenden digitalen Bezahlmöglichkeiten“, sagte Breyer.
Sergey Lagodinsky: „Wir wollen KI regulieren, bevor sie uns reguliert.“
Der Grünen-Europa-Politiker Sergey Lagodinsky warb indessen für die KI-Verordnung aus Brüssel. „Wir wollen die KI regulieren, bevor sie uns reguliert“, sagte er in seiner Keynote. Künstliche Intelligenz könne helfen, dem Fachkräftemangel zu begegnen und innovative Dienstleistungen zu ermöglichen. Dafür müssten andere Gesetze angepasst werden, beispielsweise das Urheberrechtsgesetz oder das Arbeitsrecht. Zugleich warnte er vor dem Missbrauch von KI. „Fake Humanity wird ein großes Problem werden“, warnte Lagodinsky. „Wir werden in eine Situation kommen, wo vertrauen durch Human fake erzeugt wird, und das darf nicht passieren.“
Einen Vorgeschmack auf Betrug mit KI lieferten bereits die Preisträgerinnen des Datenschutz Medienpreises 2023 in der Kategorie „Bester Beitrag Jugend“ (Den Beitrag DAME-Gewinner 2023 lesen Sie ab Seite 54).
Manuel Atug: Dienstleister sind Einfallstor für Angriffe
Wie es um die Sicherheit von kritischen Infrastrukturen vor dem Hintergrund der rasanten KI-Entwicklung steht erläuterte Manuel „HonkHase“ Atug, Gründer und Sprecher der unabhängigen AG KRITIS. Der Zusammenschluss aus rund 40 Fachleuten hat sich zum Ziel gesetzt, die Versorgungssicherheit der Bevölkerung zu erhöhen, vor allem bei Terror- oder Cyberangriffen. Da sieht Atug ein permanentes Grundrauschen von Angriffen im Cyberraum.
Gefährlich sei dies beispielsweise für Wasserbetriebe, die von Dienstleistern aus der Ferne gewartet würden. Denn die Dienstleister der verschiedenen Sektoren in der kritischen Infrastruktur seien das „Einfallstor“ für Angriffe, sagte Atug. Ransomware-Angriffe wie 2021 auf die Aachener Kister AG, ein Software-Dienstleister für Energieanlagen, richteten sich vor allem gegen Zulieferer. Atug warnte: Angriffe könnten von allen Seiten kommen, deshalb müssten sich alle an kritischer Infrastruktur beteiligten Unternehmen absichern und handeln „statt abzuwarten und zu hoffen“. Er rät Unternehmen zu regelmäßigen Backups, die offline auf Servern und nicht in der Cloud gespeichert werden sollten sowie zu einem vorausschauenden Krisenmanagement für den Fall eines Angriffs.
Dazu gehören Fragen wie wer bei einer Krise sofort informiert werden muss und wo sich der Kirsenstab treffen kann. Grundsätzlich müsse manchmal die Frage beantwortet werden, ob die Digitalisierung wirklich für alle Bereiche eines Unternehmens erforderlich sei.
Atug empfahl außerdem die Handreichung „Cyber-Sicherheit für KMU“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Um Cyberangriffe und Cyberresilienz ging es auch in einer Reihe von Einzelvorträgen auf den BvD-Verbandstagen. Dr. Jonas Jacobsen, Rechtsanwalt bei HK2, erläuterte die Auswirkungen von NIS2 auf Datenschutzbeauftragte, Alexander Karls von AK IT Service zeigte, wie Unternehmen sich mit Selbst-Tests präventiv für einen möglichen Cyber-Angriff vorbereiten können. Und Patrick Grihn von nextindex sprach über technisch-organisatorische Schutzmaßnahmen bei einem Hacking-Angriff mit KI.
Dennis Lehmkemper: Beschäftigtendatenschutz jetzt!
Ein weiterer Themenschwerpunkt der BvD-Verbandstage: Der aktuelle Stand um den Beschäftigtendatenschutz und das weiterhin ausstehende Gesetz. Katja Horlbeck, Referatsleiterin beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit, der IT-Fachanwalt Thomas Kahl und
der Leiter der Industriegruppe Compliance, Jan-Patrick Vogel, diskutierten über HR-Compliance.
Zum Abschluss der beiden Fachtage forderte der Landesbeauftragte für den Datenschutz (LfDI) in Niedersachsen, Dennis Lehmkemper, die Bundesregierung auf endlich das Beschäftigtendatenschutzgesetz zu verabschieden. Ansonsten bleibe nur der Weg über die Gerichte zur Entscheidung von Einzelfällen, sagte Lehmkemper. Diesen Weg werde er auch gehen.
Als „neuralgischen Punkt“ bezeichnete er die Erfassung von Leistungsdaten von Beschäftigten. Wenn Unternehmen qualitative und quantitative Leistungsmerkmale ihrer Mitarbeitenden festhielten, etwa um Prozesse zu optimieren, dann sei dies durchaus möglich. „Mir wäre aber aus der Rechtssituation wohler, wenn der deutsche Bundestag sich über die Grenzen einer solchen Erfassung verständigen könnte, anstatt dass jedes Gericht so oder so entscheidet“, sagte Lehmkemper. Das Beschäftigtendatenschutzgesetz wäre außerdem „ein Qualitätsmerkmal für den deutschen Arbeitsmarkt“.
Abschluss mit Best-Practice-Beispielen
Den Abschluss der zweitägigen BvD-Verbandstage bildete die Podiumsdiskussion mit Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, ihrem Rheinland-Pfälzischen Amtskollegen Prof. Dr. Dieter Kugelmann und der Datenschutzbeauftragten von Schleswig-Holstein, Marit Hansen, die das Gespräch über Erfolgsfaktoren im Datenschutz moderierte.
