In dieser Woche diskutierte Digitaldeutschland wieder einmal Status und Zukunft der digitalen Transformation des Landes. Der Erfolg vieler Maßnahmen scheitert allerdings oft an Dingen wie Geheim- oder Datenschutz – oder vielmehr ihrer missbräuchlichen Verwendung.
Egal von welchem Thema man derzeit spricht, stets entwickelt sich die Stimmung, dass wir im Stillstand verharren und es nirgends vorangeht. Wenn man die einzelnen Probleme dann nebeneinanderstellt, entdeckt man sehr schnell vergleichbare Muster: Irgendjemand hat etwas dagegen und demjenigen machen wir es extrem leicht, alles zum Stillstand zu bringen. Mit einem der folgenden vier Begriffe – meinen persönlichen „Apokalyptischen Reitern des Stillstandes“ – bringen wir jede Dynamik umgehend zum Stillstand: Umweltschutz, Denkmalschutz, Datenschutz, Geheimschutz.
Um nicht falsch verstanden zu werden: Jedes dieser Themen hat seine absolute Berechtigung und ich bin auch nicht der Meinung, dass man bei einem der Themen gesetzlich etwas zurückschrauben sollte. Es geht mir in erster Linie um die Anwendung und das Erkennen, dass diese Begriffe durchaus das Potenzial haben, als Sand im Getriebe jeder Modernisierungsbestrebung missbraucht zu werden.
Ein Beispiel aus der Digitalisierung der Verwaltung: Mit welcher Verve wird die Diskussion geführt, wie wir die Cloud für die Verwaltung nutzbar machen können. Und als Berater für Cybersicherheit bin ich mit Begeisterung dabei, Sicherheitskonzepte zu erstellen, zu prüfen und zu diskutieren. Aber ist das eigentlich das Ende, an dem wir die Diskussion beginnen sollten? Wir suchen nach der perfekten Lösung und machen deshalb gar nichts, bis wir diese gefunden haben. Warum? Weil wir mit Datenschutz und Geheimschutz zwei Themen haben, gegen die wir definitiv nicht verstoßen dürfen und wollen.
„Nur für den Dienstgebrauch“ – wirklich?
Aber gehen wir doch einmal einen Schritt zurück: Jeder Security-Fachmann lernt als erstes, dass vor der Konzeption der Lösung die Ermittlung des Schutzbedarfes steht. Können wir diesen Schritt mal etwas gründlicher machen, als uns nur auf den Geheimschutz zu beziehen?
Beruflich habe ich regelmäßig mit Dokumenten der Stufe „VS/NfD – Nur für den Dienstgebrauch“ zu tun. Um ehrlich zu sein, sind da selten Informationen enthalten, die ich nicht mit gutem Gewissen auch um 20 Uhr in der Tagesschau vorlesen könnte, ohne dass etwa der russische Präsident daraus signifikante Vorteile und Erkenntnisgewinne ziehen könnte. Kann es vielleicht sein, dass im Verlauf der Jahre einfach eine Inflation der Einstufung „nur für den Dienstgebrauch“ stattgefunden hat?
Oft genug greifen Behörden auch zur Einstufung als VS/NfD um Probleme mit dem Informationsfreiheitsgesetz zu vermeiden. Einfach um Zeit zu sparen, einzelne Passagen schwärzen zu müssen oder in Ruhe zu durchdenken, ob sich hieraus Konflikte ergeben könnten. Dieser Pragmatismus verhindert dann nur leider jeden Pragmatismus bei der Digitalisierung von Verfahren.
In der Vergangenheit war der Ansatz „Lieber zu hoch als zu niedrig klassifizieren“ vielleicht sogar angebracht, aber im Lichte der Digitalisierungsbemühungen führt dies dazu, dass hierdurch eine Vielzahl von Fachverfahren „vergiftet“ ist, die nun genau deshalb nicht aufwandsarm und schnell in der Cloud digitalisiert werden können.
Als Konsequenz daraus fehlt uns teilweise schlicht Trainingsmaterial. Jeder Weltklasse-Hochspringer hat irgendwann mal bei einer einen Meter hohen Latte begonnen, bevor er sich schrittweise an die 2,40m herangetastet hat. Wir beginnen gleich mit 2,30 m.
Weniger Komplexität, mehr Training
Wäre es nicht viel sinnvoller, vor der Schaffung komplexer Lösungen in der Gemengelage Technik und Politik (Stichwort „Souveränität“) einfach mal zu schauen, wo wir genügend „Trainingsmaterial“ herbekommen? Kritisch zu prüfen, ob das Übermaß an als vertraulich eingestuften Informationen zurückgeschnitten werden und somit der Schutzbedarf vieler Fachverfahren dramatisch reduziert werden kann? Und ebenso abzuwägen, ob wir diese viel schneller und einfacher digitalisieren könnten?
Den nächsten „Apokalyptischen Reiter“ entdecke ich durchaus im Spiegel: Der Alarmismus, den gerade wir als Sicherheitscommunity (und daran folgend die Presse) manchmal an den Tag legen. Mit besten Motiven, aber leider manchmal kontraproduktiv. Ich war vor kurzem in Lettland, um mir die dortigen Digitalisierungserfolge anzusehen. Der Satz, der mir am meisten in Erinnerung blieb, hieß: „Wir starten, wir machen Fehler, wir lernen, wir beheben die Fehler.“ Wir starten nicht, sondern suchen den Fehler – finden ihn und stoppen.
Ich will das jetzt bewusst nicht auf die aktuelle Diskussion um die elektronische Patientenakte beziehen, aber wie oft bleibt im Kopf nur der Satz „Das ist nicht sicher“ hängen, obwohl die Rahmenbedingungen für das Ausnutzen einer Lücke äußerst kompliziert, die Gefahr eher theoretischer Natur oder die Schadenshöhe tragbar ist? Wir suchen die risikofreie Digitalisierung – die gibt es aber nun mal nicht. Wir müssen auch einmal bereit sein, tragbare Risiken wirklich zu akzeptieren und Erfahrungen zu sammeln (und danach entdeckte Fehler akzeptieren, anstatt mit einer schon an Schadenfreude grenzenden Aufgeregtheit zu hyperventilieren).
Ohne Fehlerkultur gibt es keine Lernkurve
Um nicht falsch verstanden zu werden: Jede dieser Meldungen und Entdeckungen ist richtig und berechtigt. Wir als Experten sollten aber auch darauf achten, diese „Warnschilder“ auch richtig zu kommentieren, abzuwägen und nicht zu skandalisieren. All die Bremser und Verhinderer freuen sich über jedes Warnschild und machen ein Stoppschild daraus. Und wir lassen es geschehen.
Wie wollen wir so jemals die Lernkurve erhalten, um dann auch komplexere, schutzbedürftigere Verfahren und Daten nachziehen können? Dies gilt analog auch für den Datenschutz. Es ist ja nicht die Datenschutzgrundverordnung (DGSVO), die uns hindert, sondern die teilweise absurd anmutende und rein deutsche Auslegung der DSGVO.
Grundsätzlich optimistisch stimmen mich erste Äußerungen der neuen Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider. Demnach könnte man den Blick der Aufsichtsseite stärker auf das pragmatische Erreichen des umgehend Möglichen und Machbaren richten, wieder eine echte Güterabwägung erreichen und weniger auf das „Bedenkentragen“ kaprizieren. Es ist einfach traurig, dass ein eigentlich so wichtiges und positives Thema wie der Datenschutz in der Breite der Bevölkerung so komplett in Misskredit geraten ist.
Wobei vermutlich die Neubesetzung der Spitze nur teilweise zu Änderungen führen kann (denn auch ihr Vorgänger Ulrich Kelber war ja grundsätzlich eher pragmatisch). Wir müssten uns vielleicht eher die Frage stellen, wo denn verbindliche Auslegungsregeln entstehen können, wo wir der analog zum oben genannten Geheimschutz entstandenen Inflation an Stoppschildern Einhalt gebieten können.
18 separate Datenschutzbehörden scheinen mir schon von der Menge kaum der richtige Lösungsansatz sein. Und wenn sich in diesen Behörden logischerweise Personen sammeln, die dem Datenschutz ein gewisses Primat zusprechen (ich erinnere an die Pandemie, wo reihenweise das Recht auf Bildung dem Recht auf Datenschutz untergeordnet wurde), ist hier eine ausgeglichene Abwägung einfach schon systemisch schwer zu erreichen.
Erlauben Sie mir noch ein Bild: Wären für das Thema Bibelauslegung nur fundamentale Katholiken zuständig, dann wäre das Ergebnis nicht die Kirchenreform – auch wenn die Mehrheit der Gläubigen den Wunsch danach hätten. Hier ist es dann auch wieder eine Unterlassungssünde der Politik, mit dem Verweis auf die (richtige!) Unabhängigkeit der Datenschutzaufsicht, sich vor den notwendigen Schritten zur Reduktion des Interpretationsspielraums zu drücken und es bei wohlfeilem Seufzen und anschließendem Schulterzucken zu belassen, wie man es heute (parteiübergreifend) leider oft erlebt.
Und dann würde man vermutlich schnell sehen, dass man den eigentlichen Blockierern und Sandstreuern, die den Geheimschutz und Datenschutz eigentlich nur als Geisel ihrer eigenen Interessen genommen haben, sehr viel von ihren Sandvorräten geklaut hätte.
Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand der Unternehmensberatung Hisolutions.
In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit.
