»IT- und Datensicherheit sind extrem komplex«

Die hohen Sicherheitsstandards in Europa könnten zu einem Wettbewerbsvorteil werden, glaubt Clara Schneidewind vom Max-Planck-Institut für Sicherheit und Privatsphäre.
Illustration: Napal
Illustration: Napal
Interview: Julia Thiem Redaktion

Frau Schneidewind, Corona hat der Digitalisierung in Deutschland noch mal einen deutlichen Schub verpasst. Wo stehen wir heute?

Eine pauschale Antwort ist schwer. Denn schon bei der Frage, was Digitalisierung überhaupt bedeutet, gibt es unterschiedliche Auffassungen, und auch ihre Messbarkeit ist nicht eindeutig. Fakt ist jedoch, dass Digitalisierung kein Selbstzweck ist. Es geht mehr darum, dass Unternehmen in der Lage sind, Technik einzusetzen, Prozesse zu optimieren und mögliche Probleme und Herausforderungen zu lösen. Würde man also beispielsweise nur den Grad der Techniknutzung messen, wäre der im ersten Moment wenig aussagekräftig, wenn diese Nutzung nicht auf die vorangegangenen Punkte einzahlt. Und neben der reinen Funktionalität spielt natürlich auch der Sicherheitsaspekt eine entscheidende Rolle. Hier wissen wir aus unserer Forschung, dass es zwar relativ einfach ist, Software zu erstellen, die einen bestimmten Zweck erfüllt, es aber ungemein schwieriger ist, diese Software auch sicher zu gestalten. Die Pandemie ist hier ein gutes Beispiel: Homeoffice schnell für möglichst viele Mitarbeiter zu ermöglichen, war nicht das Problem, den Zugriff auf Server und Daten sicher zu gestalten hingegen schon.

Heißt das, dass man den Digitalisierungsgrad in Deutschland differenzierter betrachten muss?

Das in jedem Fall. Aus den offiziellen Berichten des Bundesministeriums für Wirtschaft und Energie lässt sich beispielsweise herauslesen, dass mit Beginn der Corona-Pandemie gerade auch im Mittelstand deutlich mehr Digitalisierung möglich war als teilweise die Unternehmen selbst für möglich gehalten hätten. Mit Blick auf die sichere Nutzung von Daten im Homeoffice gab es hingegen Herausforderungen, die in einigen Unternehmen für deutliche Einschränkungen gesorgt haben. Das heißt, mit Blick auf die unterschiedlichen Digitalisierungsebenen gibt es einige Bereiche, in denen der Mittelstand schon sehr weit ist, in anderen Bereichen sehen wir noch deutlichen Nachholbedarf, wozu vor allem auch der Umgang mit Daten zählt.

Warum tun sich Unternehmen beim Thema Daten- und IT-Sicherheit nach wie vor so schwer?

Weil eine sichere technische Umsetzung wirklich schwierig ist. Das ist eine Tatsache, die wir auf Forschungsseite nur zu gut kennen. Denn zunächst müssen Sie erst einmal wichtige Fragen klären, etwa was Sicherheit eigentlich ausmacht. Ein sicherer Umgang mit Daten in einem komplexen Kontext kann schnell zu einer Herausforderung werden. Und die Datenschutzgrundverordnung, die ich grundsätzlich sehr begrüße, hat die Anforderungen für Unternehmen natürlich noch einmal erhöht. Der Pragmatismus, der vorher an der ein oder anderen Stelle noch Treiber von Entwicklungen war, ist seitdem stark zurückgegangen und das bremst zunächst natürlich. Bestes Beispiel: Mit der DSGVO dürfen Kundendaten nicht mehr ohne weiteres auf außereuropäischen Servern gespeichert werden. Die meisten Cloud-Anbieter kommen jedoch aus den USA, was die Möglichkeiten für Unternehmen deutlich einschränkt.

Wird der europäische Sicherheitsgedanke dann nicht sogar zu einem Nachteil im internationalen Wettbewerb?

Im ersten Moment erscheint es sicherlich nicht fair. Der idealistischere Blick wäre jedoch, dass Kunden den hohen Datenschutz als wertvolles Gut anerkennen, womit der vermeintliche Nachteil schnell zu einem Vorteil werden könnte. Aber zugegeben: Das ist eine eher langfristige Perspektive.

Auch, weil Verbraucher aktuell ihre Daten noch recht großzügig freigeben?

Sie sagen es: noch. Wir sind in der Wissenschaft mittlerweile schon sehr weit, wenn es darum geht, Techniken zu entwickeln, zu definieren und zu quantifizieren, wie über einen Nutzer möglichst wenig herausgefunden werden kann. Die Menge der Daten ist nicht das Problem. Es soll verhindert werden, dass ein einzelner Mensch über die verschiedenen Datenpunkte genau identifiziert werden kann. Gerade, wenn man mehrere Datensätze hat, kann man die leicht miteinander korrelieren, dass man daraus eindeutige Profile ableiten kann. Und genau hier liegt eine große Schwierigkeit und auch Gefahr für Unternehmen und Verbraucher. Denn die Thematik ist unglaublich abstrakt.

Was meinen Sie mit abstrakt?

Verbraucher denken sich oft: Es ist doch egal, dass Netflix weiß, dass ich gerne romantische Komödien gucke. Aber dieser eine Fakt kombiniert mit einem anderen Merkmal, sagen wir mit roten Haaren, kann ausreichen, mich eindeutig in einer Datenmenge als Individuum zu identifizieren, nämlich wenn ich die einzige in der Datenmenge mit roten Haaren wäre. Und schon wäre der Schutz meiner Privatsphäre aufgehoben.

Waren solche Informationen für Unternehmen nicht aber schon immer interessant?

Mit Sicherheit. Was sich mit zunehmender Digitalisierung jedoch verändert, ist die Datenmenge. Kombiniert mit dem großen Sprung im Bereich des Machine Learning können wir heute sehr viel mehr Wissen aus diesen Datenmengen ziehen. Analog zu dieser technischen Entwicklung gilt es, Daten und Privatsphäre der Verbraucher und Kunden zu schützen.

Aus wissenschaftlicher Sicht: Wo zieht man hier Grenzen?

Für uns ist interessant, wie gut man eine Person in einer Datenmenge „verstecken“ kann, um ihre Privatsphäre zu schützen. Das heißt, Datenbanken müssen groß und divers genug sein, damit bei Abfragen nicht eine einzelne Person identifiziert werden kann. Hierfür gibt es mittlerweile mathematische Definitionen, um diese kritischen Mengen zu quantifizieren.

Und dann kommt zu dem komplexen Thema Datenschutz auch noch die Sicherheit hinzu. Denn je granularer die Daten sind, desto interessanter werden sie für Angreifer. Wie bewerten Sie hier den aktuellen Stand bei KMU?

Auch hier sind pauschale Aussagen kaum möglich, weil die Bedrohungslage stark variiert. Grundsätzlich nimmt die Gefahr zu, während das Wissen darüber, wo diese Gefahren lauern und was alles schief gehen kann, noch nicht so weit verbreitet ist, wie es sein sollte. Das ist kein Vorwurf, weil Daten- und IT-Sicherheit extrem komplex und schwer umzusetzen, die Erfahrungen mit der Thematik noch relativ begrenzt sind und es ja auch kein Aspekt ist, der uns schon in der Schule beigebracht wird – wobei es überlegenswert wäre, daran etwas zu ändern, wenn die Digitalisierung in diesem Tempo weiter voranschreitet. Und ich denke, davon dürfen wir ausgehen.  

Nächster Artikel