Archiv

Safe-Harbor-Vertrag
No-Spy-Abkommen wäre hilfreich

Die Entscheidung des Europäischen Gerichtshofs, das Safe-Harbor-Abkommen mit den USA für ungültig zu erklären, beschäftigt die IT-Sicherheitsbeauftragten in vielen Unternehmen. Größere Auswirkungen auf die tägliche Arbeit sind jedoch kaum zu erwarten.

Von Peter Welchering |
    Also, wenn aus dem IT-Sicherheitsbeauftragten ein Informationssicherheitsbeauftragter werden soll, dann hat das auch Auswirkungen auf den Prozess der Softwareentwicklung. Welche Trends sind denn da auf der ITSA diskutiert worden, Peter Welchering?
    Welchering: Vor allen Dingen die konsequente Suche nach Sicherheitslücken während der Softwareentwicklung und in der Implementierungsphase. Da ist der Informationssicherheitsbeauftragte besonders gefragt. Und dafür muss er von den gängigen Methoden der Pflichtenhefterstellung bis hin zum Fuzzing alle Sicherheitstechniken auch einsetzen können. Auch wenn der Informationssicherheitsbeauftragte also in den Unternehmen aus der IT-Abteilung ausgegliedert wird und als Stabsstelle direkt der Geschäftsführung oder dem Vorstand unterstellt wird, heißt das nicht, dass weniger Informatik-Fachkompetenz gefragt wäre. Die Anforderungen daran bleiben gleich hoch. Und es kommen noch organisatorische Anforderungen hinzu.
    Lassen Sie uns bei diesen organisatorischen Anforderungen mal bleiben. Die sollen ja durch Informationssicherheits-Managementsysteme erfüllt werden. Ist das nicht dann doch letztlich eine technische Lösung?
    Welchering: Nicht nur! Das Managementsystem ist natürlich ein Stück Software. Aber die muss nach den Vorgaben der Sicherheitskonzeption implementiert werden. Das heißt die organisatorischen Anforderungen und Vorgaben werden vom Informationssicherheits-Managementsystem abgebildet. Deshalb bestimmte übrigens am Dienstagnachmittag auch die Entscheidung des EuGH zum Safe Harbour-Abkommen die Diskussionen in den drei Konferenz-Tracks der ITSA. Denn darauf müssen die Informationssicherheitsbeauftragten reagieren und beispielsweise dafür sorgen, dass die bisherige Auftragsbearbeitung von Daten, die in den USA stattgefunden hat, nun in Europa stattfindet.
    Wie haben denn die Informationssicherheitsbeauftragten auf der ITSA darauf regiert, dass das Safe-Harbor-Abkommen vom Europäischen Gerichthof gekippt wurde?
    Welchering: Sie haben das überwiegend erwartet. Und die vorherrschende Meinung war: Es wird unsere internen Abläufe nur bedingt verändern. Dazu muss man allerdings auch wissen, dass in ganz Europa knapp 5.000 Unternehmen Daten nach dem Safe-Harbor-Abkommen in die USA übermittelt haben. Und für die gibt es ja Alternativen.
    Welche Alternativen sind das?
    Welchering: Größere Unternehmen machen hier Gebrauch von den "Binding Corporate Rules" nutzen. Das heißt, sie haben Datenschutzregeln konzernweit festgelegt, die dem EU-Standard in Sachen Datenschutz entsprechen. Diese konzernweiten Regeln für die Datenübermittlung in die USA sind auch bereits von den zuständigen Datenschutzbehörden der jeweils zuständigen europäischen Staaten genehmigt. Die zweite Option, Daten legal in die USA zu übermitteln, bieten die Standardvertragsklauseln der EU- Kommission für die Übermittlung von personenbezogenen Daten in Drittländer. Da allerdings kommt auch auf die Informationssicherheitsbeauftragten etwas Arbeit zu. Denn diese Standardvertragsklauseln müssen in die Verträge mit Partnerunternehmen eingearbeitet werden. Und da sind in den Unternehmen sowohl die Juristen, als auch die Datenschutzbeauftragten, aber auch die Informationssicherheitsbeauftragten gefragt.
    Wird das Urteil der Luxemburger Richter denn langfristige Auswirkungen auf die IT-Sicherheitslage in deutschen Unternehmen haben?
    Welchering: Das Meinungsbild auf der ITSA war da durchaus unterschiedlich. Eine Minderheit der Sicherheitsexperten meint, dass der eine oder andere Informationssicherheitsbeauftragte das zum Anlass nehmen wird, die Speicherung von Unternehmensdaten auf US-Servern zu vermeiden. Hier gab es auch klare Kritik an der Politik: Ein No-Spy-Abkommen wäre hilfreich, lautete die Einschätzung. Aber die Bundesregierung hat solch ein Abkommen ja nur vollmundig angekündigt, aber nichts für dessen Umsetzung getan. Man sieht: Politische Entwicklungen und juristische Entscheidungen haben direkte Konsequenzen auf die technische Umsetzung von Informationssicherheits-Managementsysteme. Aber das ist zugleich natürlich eine Herausforderung und ein Problem: Diese Managementsysteme müssen ständig in der Konfiguration angepasst werden.
    Inwiefern hat das Auswirkungen auf die operativen Sicherheitssysteme?
    Welchering: Deren Regelwerk muss diesen politischen und juristischen Rahmenbedingungen ständig angepasst werden. Das aber ist tatsächlich Handarbeit. Und das bringt vor allen Dingen Informationssicherheitsmanager im Mittelstand um den Schlaf. Denn die üben diese Funktion in aller Regel nur in Teilzeit aus, so mit einem Anteil an der Gesamtstelle von 20 bis 30 Prozent. Und da haben die schlicht keine Ressourcen mehr für diese ständigen Anpassungsarbeiten. Das ist aber ist fatal. Denn wenn die Regel "Der Datenverkehr darf über folgende Dienstleister in den USA und deren IP-Adressen abgewickelt werden" nach solch einer EuGH-Entscheidung nicht angepasst wird, drohen erhebliche rechtliche Risiken.
    Wie reagiert die IT-Sicherheitsindustrie auf diese veränderte Situation und auf diese Risiken?
    Welchering: Mit einem Abonnement. Genauer gesagt, mit einem Outsourcing- bzw. Cloud-Angebot. Und das sieht dann so aus, dass etwa der Mittelständler einen Dienstleister mit dem Informationssicherheits-Management beauftragt. Und dieser Dienstleister implementiert dann eben solch ein Managementsystem nach den organisatorischen Vorgaben des Mittelständlers und sorgt dafür, dass das Regelwerk den neuen Entwicklungen jeweils angepasst wird. Da ist ein vollständig neues Marktsegment entstanden.