Jetzt ist die Digitalisierung Europas nötig
- Written by Martin Szelgrad
- font size decrease font size increase font size
Datenschutz und Datensicherheit sind für Helmut Fallmann, Gründer und Mitglied des Vorstandes der Fabasoft AG, das Fundament eines stabilen Standorts für Wirtschaft und Industrie in Europa. Er liefert auch gleich das passende Werkzeug dafür.
Spätestens nach Edward Snowdens Aufdeckung von Spionageaktivitäten in den Kommunikationsnetzen durch Geheimdienste im großen Stil hat die Sicherheitsdebatte in Europa einen neuen Schub bekommen. Mit eigenen Cloudservices verspricht der österreichische IT-Hersteller Fabasoft, Datendienste mit europäischem Rechtsverständnis zu betreiben. Als Ergänzung wird Hardware geboten, die Dokumente direkt am Arbeitsplatz verschlüsselt.
(+) Plus: Herr Fallmann, worum geht es Ihnen bei der jüngst vorgestellten Verschlüsselungslösung?
Helmut Fallmann: Unternehmen in Europa haben Angst, ihre Daten in die Cloud zu geben. Sie wissen aber sehr wohl, dass sie Cloud Computing für agile Geschäftsprozesse brauchen. Also brauchen wir sichere Cloudlösungen, in denen europäisches Recht und Datenschutz gelten. Idealerweise können sich Unternehmen dann auch aussuchen, in welchem Land ihre Daten gespeichert liegen. Dann sollten Daten durchgehend verschlüsselt werden – vom Arbeitsplatz ausgehend über die gesamte Datenleitung bis ins Rechenzentrum. Wir haben mit der Kryptografie-Appliance Secomo eine End-to-end-Verschlüsselung in enger Zusammenarbeit mit Prof. Reinhard Posch und dem Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz entwickelt. Die Lösung kommt gemeinsam mit unserer Fabasoft Cloud Appliance Ende April auf den Markt. Sie besteht aus mehreren Servern, die sowohl im eigenen Unternehmen als auch an unterschiedlichen Rechenzentrumsstandorten stehen. In der Kryptografiebox sind die Schlüssel für die sichere Datenübertragung in Hochsicherheitsmodulen gespeichert. Mit dieser Speicherung vor Ort haben unsere Kunden die volle Hoheit über ihre Verschlüsselung im eigenen Unternehmen – nicht einmal IT-Provider haben Zugriff darauf. Warum betone ich das so? In der Vergangenheit sind sämtliche Datenübertragungskanäle geknackt worden. Es hat bereits Sicherheitsbrüche in allen Bereichen gegeben: auf Festplatten, im Browser, in der Datenübertragung vom Browser zum Server. Sogar 3G-Protokolle und bekannte Verschlüsselungstechnologien waren betroffen. Als Unternehmen kommt man da mit dem Hochrüsten gar nicht mehr nach. Eine Möglichkeit, die wir nun bieten, ist, die Hoheit über eine eigene Kryptografielösung zu haben.
(+) Plus: Wie sicher können IT-Prozesse denn überhaupt sein?
Fallmann: Man kann immer nur mit dem besten Stand der Technik arbeiten. Natürlich ist jede Sicherheitstechnologie am Ende des Tages mit riesigem Aufwand knackbar. Aber die üblichen Hintertüren, die wie aus Produkten von US-Herstellern kennen, gibt es bei uns nicht. Ich bin auch überzeugt, dass wir mit in Europa entwickelten Sicherheitstechnologien global ganz vorne liegen und Marktführer werden können. Damit auch Cloud Computing sicher ist, müssen viele Teile zusammenspielen. Das beginnt bei der Softwareentwicklung und es braucht auch auf Source-Code-Ebene bereits Audits – üblicherweise ziehen wir dazu das TÜV Rheinland zu Rate. Dann gibt es im Betrieb von IT in unseren Rechenzentren Zutrittsbarrieren, Gebäudeschutz und Ausfallssicherheit betreffend Stromversorgung und Klimatisierung. Die Daten werden an drei verschiedenen Lokationen gespeichert und jeweils noch einmal gespiegelt. Das ist Redundanz, bei der wir uns wohlfühlen. Dann ist auch die Betriebssicherheit essenziell. Wichtig sind hier gut ausgebildete Mitarbeiter, Checklisten zu Kontrollen und Fehlervermeidung und eine lückenlose Dokumentation aller Vorgänge. Weiters wissen wir, dass eine Verschlüsselung nur so sicher sein kann, wie die vorgeschaltete Authentifizierung der Nutzer ist. Wir brauchen also bereits beim Zugang zur IT einen sehr hohen Schutz, auf Basis einer Zwei-Faktor-Authentisierung etwa mit PIN per SMS oder einem Token mit Einmalpasswort. Ich glaube auch, dass wir in diesem Bereich in weiterer Zukunft viele Fortschritte erleben werden. So gibt es bereits Chips, die zwischen Daumen und Zeigefinger implantiert werden können, mit denen Haustüren elektronisch aufgesperrt werden können. Das klingt zwar etwas nach Cyborg, doch werden sich diese Lösungen durchsetzen. Wir schleppen heute bereits unglaublich viele Token mit uns – bis hin zum elektronischen Autoschlüssel. Da wünsche ich mir eine einfache, sichere Lösung, die ich nicht zu Hause vergessen kann. Mit solch einem Chip könnte ich auch duschen und schwimmen gehen.
(+) Plus: Wenn wir vom Hineinpumpen von IT in industrielle Prozesse sprechen – Stichwort Industrie 4.0 –, öffnet sich ein Sektor damit nicht Angriffen? Welche Herausforderungen sehen Sie hier?
Fallmann: Wenn nun endlich die Industrie die IT in ihre Produkte, Prozesse und Produktionszentren hineinpumpt – wenn das tatsächlich schon so ist –, dann freue ich mich. Bisher hatte ich den Eindruck, dass Europa sich auf seinen Stärken der Mechanik und der Elektronik ausruht. Wenn nun alle eifrig »Industrie 4.0« rufen und dies auch in Deutschland einen großen Boom erlebt, und Unternehmen wie Bosch zu Vorreitern werden, so sind wir auf dem richtigen Weg. Auf der Consumer Electronics Show in Las Vergas haben Daimler und Audi mit selbstfahrenden Autos Google und Co überrascht. Doch erst der Angriff auf die Automobilindustrie, die Professionalität von Tesla, Google und anderen, haben dazu geführt, dass überhaupt die Europäer aufgewacht sind. Die Abschottung einzelner Teile in der Wertschöpfungskette eines Produktes – nehmen wir wieder den Automobilbereich her – funktioniert schon seit Jahren nicht mehr. Heute sind Produktionsstätten geografisch verteilt und müssen vernetzt werden, sind dadurch auch angreifbar und brauchen Sicherheitstechnologie. Auch die Produkte selbst sind mittlerweile eng mit IT-Prozessen verknüpft, denken Sie nur an den modernen Autoschlüssel als Funkfernbedienung. Die Industrie muss nun die gleichen Maßnahmen in der Produktentwicklungen ergreifen, wie wir sie in der Softwareentwicklung lange praktizieren: Zertifizierungen von Codes, der Aufbau von Firewalls und besonderen Schutzbereichen. Dabei müssen die Hersteller unter allen Umständen verhindern, dass das Auto eine ebenso komplexe Maschine in der Bedienung wird, wie es der PC ist. Schließlich hat der Niedergang des Personal Computers, der gerade stattfindet, mit der unerwünschten Komplexität dieser Kiste zu tun. Sie werden Ihr Auto nicht benutzen, wenn es eigenwillig Updates einspielt, während Sie gerade auf dem Weg in die Arbeit sind. Im IT-Bereich passieren aber genau diese Dinge. Wir können diese Dummheit, die wir in der klassischen IT haben, in der Industrie nicht brauchen. Wenn Ihnen zuerst der Autoverkäufer erklären muss, wie IT-Sicherheit in dem Auto funktioniert, wird das Konzept nicht aufgehen. Wie es funktioniert, hat uns Apple-Gründer Steve Jobs vorgemacht: IT muss elegant und anwenderfreundlich sein. Wenn ich mein iPad am Frühstückstisch bediene, ist das nicht komplexer, als eine Zeitung umzublättern.
(+) Plus: Wie gut müssen denn Anwender zu IT-Sicherheit geschult werden? Was ist den Menschen zumutbar?
Fallmann: Zumutbar ist auf jeden Fall, ein Bewusstsein für dieses Thema zu schaffen. Zumutbar ist, den Menschen zu sagen, wie wertvoll Privatsphäre und Sicherheit sind. Sicherheit muss aber auch gelebt werden. Es kann nicht sein, dass jeder ein IT-Sicherheitsexperte sein muss. Es ist schon viel Arbeit, wenn ich mich privat um mein Netzwerk zu Hause kümmern muss und Firewalls und Sicherheitssoftware auch auf den Geräten meiner Kinder auf dem letzten Stand halte. Bevor ich aber einen Wettkampf der Zugangsbeschränkungen – und wie meine Kinder diese wieder umgehen – beginne, suche ich lieber das Gespräch, um Vernunft und Eigenverantwortung zu stärken. Genauso so sollte es auch in Unternehmen passieren. Leider behandeln gerade populäre Anwendungen wie Facebook diesen Bereich sehr spitzfindig. Einstellungen zu Privatsphäre und Datenschutz werden in Untermenüs versteckt, und bei jedem Update und jeder Neuerung der AGB werden wieder Daten entführt. Facebook sieht dies natürlich anders. Sein Geschäftsmodell ist die Monetarisierung dieser Daten. Dies aber quasi als Standard den Nutzern aufzubürden, ist einfach falsch und entspricht auch nicht der Vorstellung von Privatsphäre in Europa. Unser Verständnis ist: Jeder sollte einer Vermarktung seiner persönlichen Daten explizit zustimmen müssen. Damit meine ich nicht das übliche zwingende Abhaken von seitenlangen Geschäftsbedingungen: Hier sprechen wir ja nicht mehr von einer Zustimmung, sondern von Nötigung. Das Standardverhalten von Anwendungen sollte einfach sein, dass höchstpersönliche Daten prinzipiell zu schützen sind – und dass im Zweifel alle Daten personenbezogene Daten sind. Wenn ein Betreiber also nicht weiß, mit welcher Art von Daten er es zu tun hat, so sollte man davon ausgehen, dass sie maximal zu schützen sind.
(+) Plus: Das europäische Datenschutzgesetz sieht genau dies vor. Wo sehen Sie hier also noch Verbesserungsbedarf?
Fallmann: Da sich nur europäische Unternehmen daran halten müssen, herrscht ein großes Ungleichgewicht gegenüber den großen IT-Anbietern aus den USA, die aber ebenso hier tätig sind. EU-Kommissarin Viviane Redding wollte deshalb auch »ein Recht für alle« , um damit auch einen fairen Wettbewerb durchzusetzen. Auch Kommissar Günther Oettinger spricht nicht nur vom Datenschutzgesetz, sondern gleichzeitig immer auch vom Wettbewerbs- und Urheberrecht. Wir Europäer können hier nun eine Vorreiterrolle einnehmen, um auch eine gesellschaftliche Norm für die digitale Welt zu etablieren. Das ist sicherlich der vorrangigste Punkt in der digitalen Agenda, den ich sehe. Sowohl Günther Oettinger, zuständig für die digitale Wirtschaft und Gesellschaft, als auch Kommissions-Vizepräsident Andrus Ansip, verantwortlich für den digitalen Binnenmarkt, sind hier sehr aktiv. Ich bin überzeugt, dass wir unsere Wertschöpfung und unseren Wohlstand in Europa nur durch europäische Industrie erhalten können. Dazu ist jetzt eine Digitalisierung nötig, und die Entwicklung eines Gespürs für diese neue Welt. Auch Österreich muss dazu unbedingt im digitalen Index DESI (Anm. »Digital Economy and Society Index«) besser werden. Wir liegen gerade ein bisschen über dem EU-Durchschnitt. Jene Länder, die hier vorne sind – Dänemark, Schweden, Niederlande und Finnland – sind nicht nur wirtschaftlich in Europa an der Spitze, sondern globale Vorreiter. Jetzt stellt sich die Frage, warum es den Österreichern so schwer fällt, die Leuchtturm-Projekte dieser Vorreiter zu identifizieren, um davon zu lernen. Den Autopiloten für Österreich, in dem alles so wunderbar bleibt, wie es ist, den gibt es nicht. Wir müssen alle dazu etwas beitragen – besonders auch im Bildungsbereich.