Schengen für Daten: Was ist nötig, was ist machbar?

29. August 2014

„Schengen für Daten“: Diese Formulierung nimmt sich eine semantische Anleihe beim Schengener Abkommen, welches 1985 und 1990 in der kleinen Luxemburger Stadt unterzeichnet wurde und den freien Personenverkehr sowie den Abbau von Grenzkontrollen im europäischen Binnenraum zum Ziel hat.

Pro und kontra Schengen-Routing

Das schöne Wortspiel mit „Schengen für Daten“ verdanken wir dem mit Jahresende 2013 aus der Deutschen Telekom AG ausgeschiedenen ehemaligen Vorstandsvorsitzenden René Obermann. Im Klartext zielte sein Vorschlag darauf ab, dass innereuropäischer Datenverkehr durch entsprechende Routingeinstellungen europäische Datenverkehrswege nicht verlassen sollte. Nach Obermann übrigens „eine Praxis, die in den USA erst gar nicht debattiert, sondern seit langem praktiziert wird.“ Mit seinen Empfehlungen löste Obermann enormes mediales und politisches Echo in Deutschland, auf Unionsebene und auch jenseits des Atlantiks aus.

Ein Schengen-Routing wäre mit den heutigen technischen Möglichkeiten bei der Zusammenschaltung von Netzen und mit modifizierten Routingprotokollen durchaus zu bewerkstelligen.

Im Westen nichts Neues – Big Brother bei Politik und Industrie

Auch mehr als ein Jahr nach den besorgniserregenden Enthüllungen von Edward Snowden über die illegalen Zugriffe insbesondere auf Informationen nichtamerikanischer Herkunft durch die US Security-Dienste, hat sich trotz der unter internationalen Druck geratenen US-Administration als auch der globalen IT-Unternehmen Amerikas an den Praktiken der totalen Überwachung des Internetverkehrs und der umfassenden Informationsauswertung nichts geändert.

In den letzten Wochen bin ich auf  interessante Blogs des renommierten US-Security-Experten Bruce Schneier gestoßen, der heute auch im Vorstand der „Electronic Frontier Foundation“ tätig ist, einer Bürgerrechtsorganisation, die sich für die digitale Freiheit im Netz engagiert. Er bestätigt eindrucksvoll die schlimmsten europäischen Befürchtungen über den widerrechtlichen US-Datenklau.

Die NSA überwacht und filtert aber nicht nur Informationen im unbegrenzten Stil auf Basis von im Land verfügbarer Technologie. Sie schwächt auch ganz strategisch Internet-Technologien wie Produkte, Protokolle oder Standards, indem sie Druck auf die nationale IT-Industrie ausübt. Die Überwachungsprogramme der Security Services  werden zudem immer auch zur Stärkung der eigenen Industrie einsetzt. Zusätzliches Ungemach droht Europa durch digitalen Wirtschaftsbetrug von Cyberkriminellen. Allein in Deutschland richtet Industriespionage jährlich einen Schaden von 50 Milliarden Euro an.

Überwachung ist ein Business-Modell

Die NSA kann sich bei ihrer Arbeit hinter vier verschiedenen Begleitgesetzen verschanzen. Daher kann man gegen die oft bemühte Aussage „Not under this programme“ nur geringes gesellschaftliches Gegengewicht aufbauen.

Wie sehr die Amerikaner ihre Rechtsüberzeugungen auch im globalen Maßstab durchsetzen wollen, zeigt ein jüngstes Gerichtsurteil in zweiter Instanz in New York, mit dem von Microsoft die Herausgabe von in Irland lagernden Daten zur Ermittlung gegen Drogenhändler gefordert wurde. „Es geht darum wer die Information kontrolliert, nicht wo sie liegt“, hatte die Richterin ihr Urteil begründet. Die USA dokumentieren damit ihren globalen Hegemonieanspruch über alle erreichbaren Daten auch außerhalb ihres Hoheitsgebietes, und dies ohne auf Rechtshilfeabkommen mit anderen Staaten angewiesen zu sein. „All your data are belong to us“ könnte aber noch fallen, weil Microsoft das noch nicht rechtskräftige Urteil nicht zuletzt auf Drängen auch der Europäer mit allen zur Verfügung stehenden Rechtsmitteln bekämpfen wird.

Europas Antwort – Sicherheit ist ein Prozess

IT-Sicherheit in einer vernetzten Welt ist weder durch ein Schengen-Routing noch durch mathematische Modelle angewandter High-End-Kryptographie alleine zu bewerkstelligen. Moderne IT-Systeme beruhen heute auf unendlich vielen Komponenten und komplexen Wechselbeziehungen, so dass keine Technologie und keine Algorithmen für hundertprozentige Sicherheit sorgen können. Wir müssen Sicherheit in der IT als Prozess denken, wie Sicherheit im wirklichen Leben auch.

Um das fundamentale Gerüst unserer Netz- und Wissensgesellschaft wirksam zu schützen, müssen wir verfügbare Technologien zur Erkennung von Bedrohungen und inhärente Reaktionsmechanismen im Bereich IT-Security wirksam mit juristischen Systemen für einen verbesserten Datenschutz und für persönliche Selbstbestimmung in der digitalen Welt verknüpfen. IT-Sicherheit ist somit eine multidimensionale Aufgabenstellung, der wir uns jetzt prozessorientiert stellen müssen.

An den Anfang stelle ich den politischen Überbau:

  • Wir müssen in Europa einen pulsierenden digitalen Binnenmarkt schaffen.
  • Wir müssen gesetzliche Rahmenbedingungen etablieren, mit denen eine Balance zwischen staatlichen Sicherheitsinteressen und dem Recht auf Privatheit gefunden werden kann.
  • Wir müssen die Querschnitts- und Common purpose-Technologie IKT als „Kritische Infrastruktur“ begreifen.

Freier virtueller Marktplatz Europa

Europa wird alle Anstrengungen auf die Digitale Agenda bündeln müssen, wenn bis zum Jahr 2020 der Austausch von digitalen Inhalten im Netz ebenso ungehindert vonstatten gehen soll wie der freie Fluss von Waren und Dienstleistungen in der realen Wirtschaft. Dafür müssen flankierende gesetzliche Vorkehrungen für die Gestaltung eines modernen Urheberrechts und für die europaweite Lizenzierung von geistigem Eigentum medialen Zuschnitts (eBooks, Online-Musik, Foto- und Videorechte etc.) getroffen werden. Gleichzeitig müssen die Richtlinien für den elektronischen Geschäftsverkehr auf die digitale Zukunftswirtschaft adaptiert werden. Der zügige verbindliche Übergang auf den gemeinsamen Euro-Zahlungsverkehrsraum SEPA (Single European Payment Area) sollte ebenfalls seine Push-Wirkung für einen digitalen Binnenmarkt nicht verfehlen. Zusätzlich braucht es Regelungen bei e-Identität und bei der e-Signatur für die einwandfreie Autorisierung und Authentifizierung auf elektronischen Marktplätzen und die sichere Abwicklung von Rechtsgeschäften im europäischen Maßstab.

Datenschutz als Herz der IT-Sicherheit

Eines der wichtigsten Vorhaben in diesem Zusammenhang ist die gesetzliche Inkraftsetzung der neuen Datenschutzgrundverordnung.

Die größten Veränderungen in Richtung eines zeitgemäßen Datenschutzes betreffen:

  • Das Recht auf „Vergessen werden“
  • Das Recht auf Daten-Portabilität, d.h. den Transfer persönlicher Daten zu einem anderen Anbieter.
  • Explizite Zustimmung der Dateninhaber zu Datenverarbeitungsprozessen.
  • Das Marktortprinzip, wodurch auch Unternehmen die nicht Europa ansässig sind, aber hier IT-Dienstleistungen anbieten oder Online-Verhalten von Kunden monitoren, die europäischen Datenschutzstandards einhalten müssen.
  • Etablierung des einheitlichen, Technologie-neutralen Regelsets zum Datenschutz in ganz Europa.

Durch Anwendung eines einheitlichen Gesetzes in Form harmonisierter Datenschutzbestimmungen in ganz Europa können administrative Kosten in Höhe von 2,3 Milliarden Euro eingespart werden.

Parallel zum zügigen Inkrafttreten eines europäischen Datenschutzes müssen auch

die Beziehungen mit den USA betreffend den transatlantischen Datenaustausch neu und fair geregelt werden. Die Europäer sollten die Umsetzung des „Data Protection Umbrella Agreement“ zum transkontinentalen Datenschutz stark mit den Verhandlungen über ein Freihandelsabkommen (TTIP = Transatlantic Trade and Investment Partnership) junktimieren und damit gegenüber den USA wirtschaftlich wie auch juristisch Flagge zeigen.

Der verbesserte europäische Datenschutz ist auch Dreh- und Angelpunkt für eine generelle Stärkung der europäischen IT-Industrie und für die Wiederherstellung von Kundenvertrauen in zukunftsweisende IT-Modelle wie Cloud Computing oder Social Networks. Mit dem schwergewichtigen Gesetzesvorhaben kann die Europäische Union das wirkliche Potenzial der Cloud heben und die IT-Security- und App-Industrie zu neuen Entwicklungen beflügeln. Die zentrale Währung für die Cloud heißt „Vertrauen“ und Vertrauen braucht Sicherheit auf allen Systemebenen. Wir müssen Security in der europäischen IT zu einer Commodity machen.

Die IT sind der Lebensnerv unserer Gesellschaft. IT-Sicherheit betrifft uns alle und kennt keine Grenzen. IT-Sicherheit muss heute überall mitgedacht werden. Mit neuen Netztechnologien verändern sich auch die Sicherheitsanforderungen. Wer in der Netzinnovation vorne liegt, ist auch bei IT-Security am leading edge. Vor diesem Hintergrund ist ein Ansatz wie „Schengen für Daten“ der falsche Schluss aus richtigen Überlegungen. Wichtiger sind wohl offene, neutrale Netze und IT-Infrastrukturen sowie fortschrittliche europäische Regeln für ihre Benutzung. Damit werden auch unsere Fähigkeiten wachsen, unsere Daten effektiv zu schützen!