Cyber Security Summit: Mehr Transparenz wagen

Mehr Investitionen in IT-Sicherheit, mehr Transparenz, vielleicht eine Meldepflicht für IT-Angriffe – die Kernforderungen des zweiten Cyber Security Summit der Deutschen Telekom in Bonn waren fast die gleichen wie auf der Auftakt-Veranstaltung vor einem Jahr. Doch die Enthüllungen um die Spionage-Attacken der britischen und US-amerikanischen Geheimdienste gaben dem Thema IT-Sicherheit neue Aktualität und Dringlichkeit.

Die noch amtierende Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) nutzte die Veranstaltung, um ihre Ablehnung der Vorratsdatenspeicherung zu bekräftigen: "Der Widerstand gegen die anlasslose Speicherung war aus rechtsstaatlichen Erwägungen notwendig." Dabei erteilte sie dem von Bundesinnenminister Hans-Peter Friedrich (CSU) propagierte Supergrundrecht Sicherheit eine Absage.

EU-Datenschutz durchsetzen

Die Ministerin plädierte dafür, die grundlegenden Regelungen der geplanten EU-Datenschutzgrundverordnung möglichst noch vor den Europawahlen im Mai 2014 zu verabschieden. "Jetzt sind die Regierungen am Zug", erklärte Leutheusser-Schnarrenberger. Zwar gebe es noch Nachbesserungsbedarf, die Grundzüge der Datenschutzgrundverordnung seien jedoch klar. Zum Beispiel könnte durch das "Marktortprinzip" verhindert werden, dass sich Unternehmen da ansiedelten, wo besonders schwache Datenschutzvorschriften gelten. Deutsche Richter könnten deutsches Datenschutzniveau dann auch durchsetzen, wenn das betroffene Unternehmen keine Niederlassung im Land habe.

Ein Ziel der Konferenz: Europäische IT-Wirtschaft und Regierung wollen sich nun bemühen, verlorenes Vertrauen in die Technik wiederherzustellen. Leutheusser-Schnarrenberger zitierte Schätzungen, wonach US-Unternehmen im Zuge der NSA-Affäre Verluste im zweistelligen Milliardenbereich entgingen. Diese Umsätze möchte die europäische Konkurrenz gerne übernehmen.

Eine Voraussetzung dafür ist nach den Überzeugungen der in Bonn zusammengekommenen Arbeitsgruppe mehr Transparenz: Unternehmen müssten darüber aufklären, wo und wie sie die Daten der Kunden verarbeiten. Nicht einigen konnten sich die Teilnehmer über eine Meldepflicht für IT-Sicherheitsbrüche für Unternehmen. Im Rahmen der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes Bitkom tauschen sich derzeit mehr als 300 Firmen und Institutionen freiwillig aus. Eine gesetzliche Pflicht dazu finden jedoch nicht alle Teilnehmer sinnvoll.

Kaum Hoffnung auf globale Regeln

Wie der Konflikt mit den USA und Großbritannien um die Abhörpraktiken der Geheimdienste aufzulösen ist, konnten die rund 100 Teilnehmer aus Unternehmen und Politik nicht klären. Zwar betonte der Chef der Münchner Sicherheitskonferenz, Wolfgang Ischinger, dass das Bewusstsein der Amerikaner für die Empörung im Ausland gestiegen sei und auch Politiker wie der US-Senator John McCain dringenden Nachholbedarf bei der parlamentarischen Aufsicht über die Geheimdienste sehen. Dennoch sollten die Hoffnungen an ein "No-Spy-Abkommen" nicht zu hoch geschraubt werden.

Andere Teilnehmer zeigten sich weniger optimistisch. So berichtete Telekom-Vorstand Timotheus Höttges von einem Treffen mit der ehemaligen US-Außenministerin Condoleeza Rice, die US-Regierung sei sogar besorgt, dass sie zu wenige Informationen sammele. Angesichts dieser Unterschiede halten viele Teilnehmer globale Regeln für Wirtschaft und Geheimdienste zwar für wünschenswert, aber kaum für durchsetzbar. Selbst wenn sich alle Seiten auf Grundsätze einigten, sei die Interpretation beiderseits des Atlantik zu verschieden.

Auch wie innerhalb der EU mit den Briten umzugehen sei, ist für viele Teilnehmer eine ungelöste Frage. So verurteilte Telekom-Chef René Obermann die durch die Snowden-Enthüllungen bekannt gewordenen Praktiken des britischen Nachrichtendienstes GCHQ: "Ich kann das persönlich nicht billigen", sagte der Manager. Das von ihm vorgeschlagene Schengen-Routing, bei dem Datenpakete nicht unnötig nationale Grenzen überschreiten sollen, könne zwar keine hundertprozentige Sicherheit schaffen. Es sei aber ein erster wirkungsvoller und kostengünstiger Schritt, viele Daten der anlasslosen Speicherung zu entziehen. So war im Juni bekannt geworden, dass die Briten im Spionageprogramm Tempora internationale Datenleitungen anzapfen. (anw)