„Die Abwägung zwischen Freiheit und Regulierung ist immer auch eine Gratwanderung“

Interview mit Dr. Gerald Spiegel, Senior Manager - Information Security Solutions bei Sopra Steria Consulting, über Wahlprüfsteine für die kommende Bundesregierung

Herr Spiegel, was sind aus Ihrer Sicht die wichtigsten Aufgaben der zukünftigen Bundesregierung in Bezug auf die Sicherheit von Daten und Netzen? 

Die Bundesregierung soll in erster Linie dort regulierend eingreifen, wo eine Selbstregulierung der Wirtschaft nicht funktioniert oder wo Schwächere geschützt werden müssen. Aus meiner Sicht ergibt sich daraus die Notwendigkeit, für die Umsetzung des seit Juli 2015 geltenden IT-Sicherheitsgesetz zu sorgen. Ohne Kontrolle der betroffenen Unternehmen wird die positive Wirkung des Gesetzes sonst verpuffen, mit dem die Bundesregierung IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten der Welt machen will.

In zweiter Linie betrifft das die Durchsetzung der EU-weit gültigen Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018. Die Verordnung atmet den echten Geist eines wirksamen und nachhaltigen Verbraucherschutzes. Wir wenden uns gegen jeden Versuch, die DSGVO breit auszulegen, so dass am Ende doch alles beim Alten bleibt.

Dritte, aber sicher nicht die letzte Aufgabe einer neuen Regierung wird es sein, die fällige Regulierung im Bereich CyberSecurity bei Finanzdienstleistern durchzusetzen – das gilt besonders vor dem Hintergrund neuer Technologien und Geschäftsmodelle.

Widersprechen die Regelungen nicht der Sicherung unternehmerischer Freiheit und Wettbewerbsfreiheit, zu der jede Regierung auch verpflichtet ist?

Die Abwägung zwischen Freiheit und Regulierung ist für jede Bundesregierung sicher immer auch eine Gratwanderung. Daten, insbesondere personenbezogene Daten, sowohl von Unternehmen als auch von einzelnen Menschen, sind zu einem wichtigen Kapital und Gut geworden. Das lädt zu missbräuchlicher Nutzung ebenso ein wie zu schlicht kriminellen Handlungen. Bei der Informationssicherheit geht es also längst um den Schutz der individuellen Daten und damit des Gemeinwohls, und ist längst Thema für Regulierungen durch Regierungen. Ohne den Schutz personenbezogener, individueller Daten werden aus meiner Sicht Geschäftsmodelle, die auf Daten aufbauen, nicht erfolgreich sein können. Allerdings, und Sie weisen zu Recht darauf hin, dürfen Regulierungen Wettbewerb und unternehmerische Freiheit nicht unbillig einschränken. Daher ist es auch gut, dass jetzt zumindest im Bereich Datenschutz in der Europäischen Union alle Länder die gleichen Rahmenbedingungen haben.

Braucht es neben der DSGVO dann überhaupt noch nationale Datenschutzstandards?

Für die Europäische Union halte ich die DSGVO für ausreichend. Sie regelt umfassend alles, was für den Schutz personenbezogener Daten wichtig ist. Auf nationaler Ebene brauchen wir dafür allenfalls noch Übergangsregelungen.

Aber wir haben in Europa und außerhalb der EU einige wichtige Player, die nicht oder zukünftig nicht diesen Regulierungen unterliegen. Dazu zählt heute die Schweiz, morgen zum Beispiel auch Großbritannien.

Und natürlich muss der Datenschutz in einer weltweit organisierten globalen Wirtschaft mit den anderen großen Wirtschafträumen wie Amerika und Asien geregelt sein – zumindest für die Daten, die aus der EU kommen. Die USA haben ja traditionell eher schwächer ausgeprägte Datenschutzbestimmungen – zugunsten eines tatsächlich oder vermeintlich freieren Handels. Hier wird man sehr darauf achten müssen, dass der „starke“ Datenschutz der EU zwar auch außerhalb des Rechtsgebiets eingehalten, aber nicht zu einem Wettbewerbsnachteil wird.

Also wird es auch Aufgabe der kommenden Bundesregierung sein, in der EU für Länder, die nicht unter die europäischen Regelungen fallen, bilaterale Datenschutzregelungen zu erwirken?

Solche bilateralen Abkommen dürften die DSGVO aber nicht aufweichen und deshalb halte ich sie für eher unwahrscheinlich. Es gibt die so genannten EU-Standardvertragsklauseln, mit denen Unternehmen vertragliche Vereinbarungen zum Datenschutz mit anderen Unternehmen außerhalb der EU treffen können. Die werden – an die DSGVO angepasst – auch zukünftig eine wichtige Rolle spielen. Damit haben Unternehmen also juristisch saubere Instrumente an der Hand, um zur DSGVO compliant zu sein und dennoch in Beziehung mit Unternehmen außerhalb der EU treten zu können.

Welche Maßnahmen sehen Sie noch, mit denen die Bundesregierung Unternehmen besser vor Cyber-Kriminalität, Social Engineering und anderen Bedrohungsszenarien schützen kann?

Einer der größten Schwachpunkte für Cyberangriffe in Unternehmen sind nach wie vor die eigenen Mitarbeiter. Zudem finden Angriffe oft über das private Umfeld der Mitarbeiter statt, über das so genannte Social Engineering. Folgerichtig müssten wirksame Maßnahmen hier ansetzen. Allerdings sehe ich hier nicht den Gesetzgeber in der Pflicht, denn das würde aus meiner Sicht zu stark gleichzeitig in die unternehmerische Gestaltungsfreiheit und in die Persönlichkeitsrechte der Mitarbeiter eingreifen.

Das ist der Grund, warum wir auch in Zukunft vor allem Ratschläge etwa durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten und in Unternehmen Kampagnen für höhere Security Awareness durchführen werden.

 

Weitere Informationen zu dem Thema finden Sie in der Potenzialanalyse Digital Security.

Interview Spiegel
Dr. Gerald Spiegel
Senior Manager - Informations Security Solutions