Wir brauchen einen Generationenwechsel!

It-Sicherheit Grafik

Sein Auftrag: Das Bewusstsein für IT-Sicherheit und Datenschutz zu schärfen und neue Technologien wie u. a. künstliche Intelligenz (KI) der Allgemeinheit besser verständlich zu machen. Seine Leidenschaft: Nachhaltigkeit in der IT und eine gute (digitale) und ökologische Zukunft für unsere demokra­tische, arbeitsteilige Gesellschaft. Daran arbeitet, forscht und lehrt Rainer Rehak, Wissenschaftler am Weizenbaum-Institut in Berlin. Wie er seine Anliegen umsetzt, was ihn manchmal ärgert und warum sich „das Bohren dicker Bretter“ immer wieder lohnt: Dazu berichtet er aus seinem Arbeitsalltag.

Herr Rehak, Sie haben Philosophie und Informatik studiert. Warum ausgerechnet diese außergewöhnliche Kombination?

Rainer Rehak: Auf den ersten Blick sicher eine ungewöhnliche Wahl, vor allem aber eine sehr persönliche Entscheidung. Die bei mir immer noch Herzklopfen verursacht, weil beide Themen für mich so perfekt zusammenpassen, etwa beim Thema Logik oder KI und Bewusstsein. Außerdem ist es auf den zweiten Blick eine Fächerkombination, die in unserer hochkomplexen und vernetzten Gesellschaft und Wirtschaft auch ganz praktisch hilft, Zusammenhänge zu verstehen. Etwa, um herauszufinden, wie die Welt in Denkkonzepte passt. Also wie wir es schaffen können, einen freien Willen im digitalen Wissensraum zu schützen, oder wie wir z. B. über KI sprechen und wie sie vom großen Teil der Bevölkerung verstanden wird. Denn KI ist mittlerweile ein Begriff, der sich dank Marketing-Hochglanzbroschüren, aktiengetriebener Akteure wie Tesla und auch der Politik verselbstständigt hat. Und zwar in die falsche Richtung.

Was genau bereitet Ihnen in diesem Zusammenhang Kopfzerbrechen?

Im KI-Diskurs wird der Gesellschaft oft – sei es bewusst oder unbewusst – Angst gemacht, dass wir es hier mit einem „hochintelligenten Produkt“ zu tun haben, das selbstständig lernt und eine übergroße Macht über uns alle erreichen wird. Das ist aber falsch. Hier werden vermenschlichte Analogien genutzt, etwa, dass das technische System allein unendlich lernen kann. Fakt ist aber: Kinder und Erwachsene lernen durch Fragen, durch Erfahren, durch Austausch. KI hingegen muss immer von Menschen erstellte Programme durchlaufen, immer und immer wieder, um „lernen“ zu können. Dann ist sie gut in diesem ganz speziellen Bereich, nirgends sonst. So etwas wie Transferleistungen sind nicht möglich. Hier gibt es einen immensen Aufklärungsbedarf. Denn jede Technologie, jede Neuerung braucht einen gesellschaftlichen, technischen und philosophischen Diskurs. Und nicht nur einen rein wirtschaftlichen und politischen.

DSAG-Arbeitsgruppe Datenschutz: aktuelle Themen

  • Abstimmungen mit SAP zu neuen SAP-Lösungen rund um das Thema Datenschutz
  • Erstellen eines Leitfadens für SAP-Anwender zur Nutzung von Kundendaten in der Cloud beim Anlernen von KI-Systemen in den SAP-Lösungen (AI-Winning-Plan)
  • Effiziente Nutzung von SAP Information Lifecycle Management (ILM): Erstellen einer Datenbank, die Best-Practice-Beispiele für DSAG-Mitglieder zu Sperr- und Löschfristen enthält (ILM-Datenbank)
  • Vorbereitung eines Ausbildungslehrgangs „Der SAP-Datenschutz-Experte“

Arbeitsgruppe Datenschutz

Welche Erfahrungen haben Sie bezüglich IT-Sicherheit und Datenschutz in deutschen Unternehmen bisher gemacht?

Meistens kollidieren Anspruch und Realität: Für eine saubere und komplette Datenschutzanalyse z. B. braucht es in Unternehmen schon mal zwei Monate. Leider gibt es dafür aber oft nur das halbe Budget und auch nur zwei Wochen Zeit. Damit lässt sich nur das Allernötigste machen, was inhaltlich natürlich nicht ausreicht. Dieser schnelle und übermäßige Pragmatismus findet sich leider immer noch häufig in mittelständischen Unternehmen, ein multinationaler Konzern ist hier mittlerweile ganz anders aufgestellt, wenn er denn will.

Was sind die Gründe für diese Situation, außer Ressourcen- und Know-how-Mangel?

Grundlagen der IT-Sicherheit, die Relevanz der IT und der Aufwand, der wirklich dahintersteckt, sind oftmals noch nicht im Bewusstsein der Verantwortlichen ganz oben angekommen. Obwohl sie die Software kaufen, konfigurieren und einsetzen lassen und somit letztlich die Entscheidungsmacht haben. Aber eben auch die komplette Verantwortung dafür, dass es gut läuft oder nicht. Denn wenn Bugs oder Schadprogramme bzw. Malware oder auch Ransom­ware (siehe Glossar) auftauchen, lautet die erste Frage immer: Wer ist verantwortlich? In unserer total vernetzten Welt eine wichtige Frage. Wenn innerhalb der vernetzten Fabrik die Wartung der Geräte online von einem anderen Standort oder gar Land durchgeführt wird, muss man klar wissen, wie damit umzugehen ist. Und diese Erkenntnis, dass es überall einen Kontrollverlust gibt, ist nicht immer leicht, denn eigentlich wollen wir ja, dass Schäden gar nicht erst entstehen.

Glossar

Malware

Malware ist ein Sammelbegriff für „bösartige“ Schadprogramme, die entwickelt wurden, um Nutzern Schaden zuzufügen.

Ransomware

Diese Malware sperrt in den meisten Fällen den Zugriff auf bestimmte Datenbereiche oder auf das gesamte System. Anschließend folgt eine Lösegeldforderung, die zu einer angeblichen Freigabe der blockierten Daten führen soll. Eine Garantie gibt es jedoch nicht.

Disaster-Recovery

Das Disaster-Recovery stellt nach einem Katastrophen- oder Störungsfall den IT-Betrieb wieder her.

Was muss sich hier dringend ändern?

Die politischen Rahmenbedingungen und IT-Gesetze müssen dringend angepasst oder überhaupt erst einmal erstellt werden. Unternehmen und Organisationen können das allein nicht leisten. Deutschland ist ein wesentlicher IT-Player, zumindest was den politischen Einfluss in der EU angeht, die digitalpolitischen Fragen und Probleme sind größtenteils bekannt. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ist z. B. ein wichtiger, erster Schritt getan worden. Aber die letzten eineinhalb Jahre während der Corona-Pandemie haben auch gezeigt, dass wir immer noch viel zu langsam sind.

Was bedeutet das konkret?

Wir hinken der Digitalisierung mindestens zehn Jahre hinterher. Die Lösung kann aber nicht sein, einfach „mehr Software“ zu nutzen, sondern erstens zu fragen, wohin wir mit einer Digitalisierung eigentlich wollen, und zweitens konsequent danach zu handeln. Doch wir verharren hier in alten, starren Denkmustern. Es braucht daher dringend einen Generationenwechsel an den Schalthebeln. Denn das Wissen ist da, die Leute auch. Zu denken, das haben wir schon immer so gemacht und alles soll so bleiben wie es ist, war noch nie eine gute Idee! Wenn Positionen nicht besetzt sind, Ressourcen nicht geschaffen werden und Zeit nicht vorhanden ist, braucht sich kein Mensch zu wundern, dass der digitale Wandel auf der Stelle tritt.

Zurück zum Datenschutz und einem aktuellen Anwendungsfall aufgrund der Pandemie: Tracing-Apps waren und sind immer noch ein heiß diskutiertes Thema. Was denken Sie darüber?

Das Ziel der Lösungen war toll: Infektionsketten unterbrechen. Aber es hat sich gezeigt, wie schnell die Idee des Contact-Tracings missbraucht werden kann. Z. B. in Singapur, wo die Daten der App bald auch für die Polizeiarbeit genutzt wurden, aber auch in Bayern, wo so manches Papier mit Adressdaten für die Strafverfolgung zweckentfremdet wurde. Und bei der Luca-App kam zwischenzeitlich heraus, dass es als Zweitsystem für den Ticketverkauf gedacht und mit weiteren Geschäftsmodellen im Kunstbereich verknüpft werden soll. Noch einmal: Der Grundgedanke hinter Contact-Tracing ist richtig. Aber es wurde lange nicht sauber gearbeitet, das Datenschutzverständnis war bei der Erstellung der Apps meines Erachtens nach kaum vorhanden, wobei die Corona-Warn-App nach langer Diskussion im letzten Jahr noch die Kurve gekriegt hat, Luca dieses Jahr nicht.

Was ist für Sie der wichtigste Unterschied zwischen Datenschutz und IT-Sicherheit?

Die IT-Sicherheit schützt Daten und damit Organisationen oder Unternehmen. Der Datenschutz hingegen schützt alle Betroffenen vor den Organisationen oder Unternehmen. Das gibt natürlich immer wieder Konflikte. Nehmen wir Google als Beispiel: Der Konzern verspricht zwar, gut auf unsere Daten aufzupassen. Erhebt und nutzt aber selbst alles Mögliche. Wir sehen dort also gute IT-Sicherheit und schlechten Datenschutz. In der IT-Sicherheit sehen wir zudem die immer wiederkehrende Diskrepanz zwischen Wirtschaft und öffentlichem Sektor und den Sicherheitsbehörden: Viele Politiker fordern im Namen der Sicherheit, im Zweifelsfall alles hacken zu dürfen, Wirtschaft und Privatpersonen hingegen wollen genau davor geschützt sein. Da muss man sich entscheiden.

Rainer Rehak

Rainer Rehak promoviert aktuell am Weizenbaum-Institut für die vernetzte Gesellschaft zu systemischer IT-Sicherheit. Forschungs- und Lehrgebiete sind die Themen Datenschutz und IT-Sicherheit, staatliches Hacking, Nachhaltigkeit sowie Technikzuschreibungen. Er ist technischer Sachverständiger – etwa für Parlamente oder das Bundesverfassungsgericht – und aktiv im Forum Informati­ker­Innen für Frieden und gesellschaftliche Verantwortung (FIfF) sowie bei Amnesty International (AI). Zuvor war er als IT-Sicherheits-/Datenschutzberater tätig.

Was denken Sie über die in der Presse oft zitierten Cyber-Wars, über Erpressungsversuche mit Mal- und Ransomware, die gesellschaftskritische Infrastrukturen lahmlegen oder sogar zerstören können?

Hier müssen wir zwischen zwei Szenarien unterscheiden: Brennende Pipelines, die die Ölversorgung unterbrechen, oder Flugzeuge, die in Kraftwerke hineinstürzen, sind ein Szenario, das medial gern gezeigt wird. Ich denke jedoch, hier bahnt sich ein anderes Szenario seinen Weg: Staatliche Akteure führen einen verdeckten „Krieg“. Sie wollen aber nicht offensichtliches Chaos und Zerstörung anrichten, sondern Machtspiele spielen, auch um geopolitische Strategien und politische Themen durchzusetzen, z. B. indem sie Systeme von anderen infiltrieren und erstmal passiv bleiben. Ganz im Sinne von „Ein schönes Stromnetz haben Sie da!“, nur diplomatischer. Erinnern wir uns nur an Stuxnet oder Snowdens Enthüllungen, das ist alles längst Realität. Glücklicherweise hat die große Mehrheit der Menschheit aber andere Lebensziele und ist in ihrer grundsätzlichen Haltung nicht böse. Existierende Schwachstellen in Infrastrukturen werden bislang nicht oft destruktiv ausgenutzt, auch wenn das bei zu vielen Systemen ginge.

Ihr Wunsch für die Zukunft?

Ich wünsche mir, dass sich Unternehmen auch einmal politisch äußern. Und sagen, was sie konkret an Unterstützung seitens des Staates benötigen und welche Eingriffe sie sich verbitten, Stichwort Staatliches Hacking. Nicht überall sitzen Menschen mit Expertise für Monitoring, Firewalls, professionelle Datenrettung wie Disaster-Recovery oder Resilienzhärtung. Seitens der Politik hingegen wäre meine Forderung, aus Pro-Forma-Diskussionen einen echten Diskurs mit Teilhabe und Anschlussgesprächen zu machen. Viele Wege führen nach Rom: Wenn wir in einem ständigen Aushandlungsprozess von 20 konkreten Punkten 14 auslassen, sechs bejahen und gleichzeitig noch zwei neue Themen auf den Weg bringen, ist das für mich eine sinnvolle Sache. Und auch, wenn aktuell die gesellschaftliche, wirtschaftliche und politische Spitze zu verharren scheint, in den Ebenen darunter gibt es oft Vision und Passion. Dort geht das Denken weiter. Dort sitzen viele tolle und begabte Leute, die innovativ denken, die etwas bewegen können und wollen. Diese Potenzial kann realisiert werden.

Was haben Sie gelernt?

Im Streit, in der Diskussion um den richtigen Weg kompromissbereit und auch bereit zu sein, „dicke Bretter zu bohren“, immer und immer wieder. Am Ende zahlen sich alle Anstrengungen und die Geduld aus.

Vielen Dank für das Gespräch!

Bildnachweis: iStock, Rainer Rehak Autorin

Autorin

Autorin: Sarah Meixner
blaupause-Redaktion
blaupause@dsag.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert