Markus Hennig

ist CTO bei Astaro - Sophos Network Security. Als aktives Mitglied der Linux-Community ist er seit über 10 Jahren im Open-Source-Bereich aktiv.

EU-Sicherheitspo(lite)sse: Knöllchen für Sicherheitsmuffel

Eigentlich war es ja nur eine Frage der Zeit, bis ein EU-Kommissariat bei seiner Suche nach Beschäftigungsfeldern auf den Bereich IT-Sicherheit stößt. silicon.de-Blogger Markus Hennig nimmt den Reformentwurf zum Datenschutz der EU unter die Lupe.

Ein Ruf des Entzückens mag durch die Flure gehallt sein, als der Europapolitiker dann auch noch die nahe Verwandtschaft zum Datenschutz entdeckte, gemeinhin ein Thema, mit dem man sich hervorragend profilieren und Bürgernähe demonstrieren kann. Also nichts wie ans Werk: Das Sicherheitsgebaren von Unternehmen muss sich doch mit hochkarätigen Knöllchen, nämlich bis zu 5 Prozent des Jahresumsatzes, verbessern lassen!

Dabei hätte alleine ein Blick auf die letzte Reform der entsprechenden Datenschutzlinie genügt, um jegliches Gegenargument zu zermalmen: 1995! Nein, das ist nicht die Anzahl der installierten WLAN-Netze im EU-Parlament, sondern eine Jahreszahl. Damals protzten Prozessoren noch mit 233-Mhz-Taktung, es besteht also nach 16 Jahren eminenter Handlungsbedarf. Die Technik dürfte sich, im Gegensatz zu den Blumengestecken am EU-Empfangstresen, weiterentwickelt und damit auch die eine oder andere sinnvolle Anpassung der Datenschutzrichtlinie mit sich gebracht haben. Deshalb ist es im Prinzip durchaus löblich, sich aktuell mit der Problematik IT-Datenschutz zu beschäftigen. Aber die Art und Weise, mit der die EU die Sache angeht, katapultiert mir doch eher das Stichwort “Aktionismus” ins Hirn. Fünf Prozent ihres Umsatzes sollen nach Vorstellung der neuen Vorgabe Konzerne zahlen, die nachlässig mit personenbezogenen Daten ihrer Kunden, Lieferanten oder eigenen Mitarbeiter umgehen. Sie also unsicher speichern oder ohne Erlaubnis an Dritte weitergeben. Ein fulminanter Rundumschlag, der, falls sich der Entwurf tatsächlich durchsetzt, mehr Fragen auslöst als beantwortet.

Ein paar Beispiele gefällig? Nehmen wir die in letzter Zeit immer wieder kursierenden Steuerdaten-CDs. Muss hier die Bank, von der die Daten stammen, das Knöllchen akzeptieren sowie zahlen und gleichzeitig ihre Kunden informieren, da es sich um ein meldepflichtiges Datenschutzereignis handelt? Oder was ist mit öffentlichen Institutionen? Der Vorschlag spricht immer nur von Unternehmen, aber was ist mit Behörden und Verwaltungen? Führen diese 5 Prozent ihres Haushalts ab, wenn Daten mal wieder “verschwunden” sind und früher oder später im Netz auftauchen? Das LKA Sachsen dürfte mit seinen über 1 Million illegal gesammelten Mobil-Verbindungdaten der erste Einzahler werden.

Oder knöpfen wir uns die EU doch gleich selbst vor: Gab es da nicht ein Abkommen mit den USA in Bezug auf Flugpassagierdaten (Passenger Name Records) oder elektronischen Bankvorgängen (TFTP “SWIFT” Agreement). Mehrere Klagen laufen und falls das Ganze illegal ist, müsste sich die EU ja eine hübsche Knöllchensumme in die eigene Portokasse zahlen. Illegale Datenerhebungen, bei denen das Recht der Bürger missachtet wird, stehen wohl nicht nur in der Industrie, sondern auch der Verwaltung an der Tagesordnung.

Bei aller Sicherheitsliebe bleibt auch noch zu berücksichtigen, dass Datenverlust am häufigsten nicht auf Einbrüche virtueller oder tatsächlicher Art, sondern simplen Verlust entsprechender Datenträger zurückzuführen ist. USB-Stick, Smartphone oder Laptop haben leider immer noch die vertrackte Eigenschaft, in Cafés, Zügen oder Mietwagen liegen zu bleiben. Doppelt ärgerlich, wenn die sensiblen Firmen- oder Behördendaten dann nicht verschlüsselt waren. Dabei gibt es doch heutzutage überhaupt keinen Grund mehr, personenbezogene, sensitive Daten überhaupt irgendwo unverschlüsselt abzulegen. Eigentlich sollte dieses Thema mittlerweile elementarer Bestandteil jeder IT-Strategie sein, kann es doch so manchen virtuellen Einbrach einfach ins Leere laufen lassen. Wie wäre es also damit, einfach mal mehr zu verschlüsseln beziehungsweise Encryption (ich finde, der englische Begriff strahlt gleich viel mehr schicksalsschwangere Würde aus) zu nutzen? Das geht einfach, ist zum Reinschnuppern mit diesem Programm sogar kostenlos und senkt zudem das Risiko, in Zukunft ein Knöllchen von der EU zu bekommen, bei dem es nicht um Geschwindigkeitsüber- sondern Sicherheitsmaßnahmenunterschreitung geht.