Datenschutz-Sommerakademie: Vertrauenswürdige IT in der Informationsgesellschaft

Bei den Datenschützern in Kiel ist der Wechsel von Thilo Weichert zu Marit Hansen im vollen Gange. Erstmals leitete Hansen die Sommerakademie des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein. Diesmal ging es um Vertrauenswürdigkeit in der Informationsgesellschaft. Die Tagung wurde von der neuen Chefin mit einer Art Ursachenforschung eröffnet: Wie kommt es eigentlich, dass in den vergangenen 25 Jahren keine vertrauenswürdige IT-Infrastruktur geschaffen wurde?

Hansen zitierte dazu Wolfgang Coy, einen der Väter der kritischen Informatik, die derzeit an den Universitäten abgeschafft wird. Coy schrieb bereits im Jahre 1992 leicht resigniert: "Unter hoher Wachstumsgeschwindigkeit hat die Informatik kein professionelles Selbstverständnis entwickelt, das per se zuverlässige und bedachte Konstruktionen zum Normalfall werden lässt."

Von Altlasten belastet

Während Autobauer in aller Ruhe derzeit die Modelle für das Jahr 2020 entwickeln – und mit selbstfahrenden Autos das Publikum ablenken könnten – , könne sich die Informatik eine derartige Langzeitperspektive nicht leisten, meinte Hansen. Belastet mit Altlasten und getrieben von einem völlig überhitzten Markt (Cloud, Internet der Dinge) habe es niemals den ruhigen Moment gegeben, vertrauenswürdige IT-Infrastrukturen aufzubauen.

Hansen erklärte ungewöhnlich offen die Grenzen ihrer Profession: "Es gibt Angriffe, da können Informatiker einfach nicht helfen." Weil es einen internationalen Markt für Unsicherheit gebe, auf dem 0Days gehandelt würden und auch Staaten auf diesem Markt einkauften, sei vertrauenswürdige IT von den Technikern nur begrenzt herstellbar.

Standortvorteil zur De-Mail

Einen Ausweg aus der Misere sah Ammar Alkassar von Sirrix im Sicherheitskonzept der Wirkungsklassen, wie vom Teletrust-Verband vorgeschlagen. Danach müssen vertrauenswürdige Komponenten entsprechend dem Angriffsrisiko eingesetzt werden. Während der einfache Anwender mit Microsoft Bitlocker arbeiten kann, soll eine Behörde eine in Deutschland entwickelte Festplattenverschlüsselung einsetzen. Für fast alle Komponenten eines PC gebe es erprobte Alternativen, nur das UEFI-BIOS fehle noch.

Der parlamentarische Staatsekretär des Bundesinnenministeriums, Ole Schröder verteidigte das IT-Sicherheitsgesetz mit seinen unpräzisen Bestimmungen von "erheblichen Sicherheitsvorfällen", die zuvor FIfF-Mitglied Ingo Ruhmann kritisiert hatte. Auch verteidigte er die notleidenden Regierungsprojekte der elektronischen Identifikation mit dem neuen Personalausweis und die De-Mail.

Ohne auf das am selben Tag eröffnete De-Mail-Konto seines Ministeriums einzugehen, erklärte Schröder zuversichtlich, dass Deutschland mit der De-Mail einen Standortvorteil im europäischen Maßstab besitze, wenn es daran geht, die eIDAS-Verordnung umzusetzen. Schröder gab allerdings kritisch zu, dass De-Mail die kritische Masse noch nicht erreicht habe. Mit der Ende-zu-Ende-Verschlüsselung der De-Mail und der nun daran anschließenden Webmail-Verschlüsselung bei anderen Providern sei Deutschland auf einem guten Weg. "Unbescholtene Bürger können so kommunizieren, dass sie nicht abgehört werden können, das ist vertrauenswürdige IT." Andererseits sei es für den Rechtsstaat selbstverständlich, dass dieser die Kommunikation bei Straftätern mithören kann, wenn die Staatsanwaltschaft eine solche Befugnis ausstelle, erklärte Schröder im nächsten Satz.

Wenn der Bürger Vertrauen in den Staat hat, ist die Vertrauenswürdigkeit in die IT-Infrastruktur hoch. Diese These vertrat Simone Fischer-Hübner, IT-Professorin an der schwedischen Universität Karlstad. Schweden haben kein Problem mit zentral gespeicherten Gesundheitsdaten, weil sie die Log-Files einsehen können. Fischer-Hübner berichtete, dass Edward Snowdens Enthüllungen in Schweden nicht beachtet werden, weil sie angesichts der Bedrohungslage (russische U-Boote in den Schären) die Notwendigkeit sehen, dass ihr Staat mit den USA eng zusammenarbeitet. Auch sei die Zustimmung zum umstrittenen FRA-Gesetz zum Abhören von Telefon- und Internetverbindungen sehr hoch, auch wenn die Piratenpartei als Gegner Erfolge habe. (anw)