Prof. Dr. Dennis-Kenji Kipker: Zur Zukunft der Cybersicherheit

Über Prof. Dr. Dennis-Kenji Kipker

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt a.M. sowie Gastprofessor an der privaten, durch die Soros Foundation begründeten Riga Graduate School of Law in Lettland. Hier forscht er zu Themen an der Schnittstelle von Recht und Technik in der Cybersicherheit, Konzernstrategie sowie zu digitaler Resilienz im Kontext globaler Krisen mit einem Forschungsschwerpunkt insbesondere im chinesischen und US-amerikanischen IT-Recht. Kipker ist Berater der Bundesregierung und der Europäischen Kommission. Ehrenamtlich beteiligt sich Dennis Kipker in den USA am World Justice Project.

Herr Prof. Dr. Dennis-Kenji Kipker, der Zukunftskongress bezeichnet Sie als „einen der führenden Köpfe der Cybersecurity in Deutschland“. Wie würden Sie Ihre Rolle beschreiben?

In erster Linie möchte ich Transparenz, Innovation und Aufklärung in der digitalen Resilienz leisten. Wir sehen mit jedem Tag, dass die digitalen Herausforderungen wachsen, sowohl für die Gesellschaft, aber ebenso für Staat und Wirtschaft. Und dabei sprechen wir nicht nur allein über Cyberangriffe, sondern über die Vernetzung und Digitalisierung im Generellen. Worauf kann man sich verlassen? Was sind gesicherte Informationsquellen? Wie entwickeln sich Technologie- und Bedrohungslage weiter? Welches Produkt kann ich einsetzen?

Bei diesen zentralen Fragen gibt es noch viel Unsicherheit, und dass teils auch bei IT-Fachleuten, weil es im Bereich der digitalen Resilienz immer mehr zu beachten gibt, angefangen beim Datenschutz, über Skalierbarkeit, Wirtschaftlichkeit, Technologiesouveränität, Versorgungssicherheit und digitale Lieferkette bis hin zur Frage, wie und ob ich bewerten kann, dass ein Produkt wirklich cybersicher ist. Und das ist die Schnittstelle, an der ich mit dem cyberintelligence.institute arbeite, um mit den Methoden der Wissenschaft, aber in direkter und praktischer Kooperation mit Wirtschaft, Staat und Gesellschaft, Antworten zu geben, Erklärungen zu finden.

Unternehmen und auch staatliche Institutionen streben danach, unabhängiger von Anbietern außerhalb Europas zu werden. Wie wichtig ist aus Ihrer Sicht die digitale Souveränität für Europa?

Die digitale Souveränität ist definitiv ein Zukunftsthema, aber nicht nur in der Europäischen Union, sondern weltweit wird dieser politische Ansatz mittlerweile verfolgt. Wo wir einerseits in den letzten 30 Jahren massiv IT-Outsourcing betrieben haben, geht es nun wieder darum, Kompetenzen in Regionen vor Ort zu holen. Das hat einerseits wirtschaftliche Gründe, aber andererseits auch politische und rechtliche Gründe: Nehmen wir zum Beispiel den US-amerikanischen Datenschutz, der in der Vergangenheit immer wieder ein Problem gewesen ist, obwohl wir massiv von US-Software und Clouddiensten abhängig gewesen sind. Das zeigt sich u.a. in der politischen und fachliche Diskussion, die beispielsweise um Anbieter wie Microsoft geführt wird.

Das Ganze geht noch weiter, wenn wir an die digitale Lieferkette in Produkten und Diensten denken, uns also überlegen müssen, wie abhängig wir von bestimmten Unternehmen sind und wie vulnerabel genau diese Lieferkette in den letzten Jahren geworden ist. Wir müssen uns in der IT die Frage stellen, wie sich geopolitische Konflikte auf die Rohstoffversorgung auswirken, und auch auf die Verfügbarkeit von Technologie aus bestimmten Regionen. Alles Fragen, die vor einigen Jahren noch eine deutlich geringere Rolle gespielt haben.

Die Diskussion um den „CLOUD Act“ in den USA sorgt immer wieder für Unsicherheit bei Unternehmen in Europa. Welche rechtlichen Risiken bestehen für Unternehmen, die auf US-Anbieter setzen?

Das ist genau eines dieser Probleme in Sachen digitale Souveränität, über die wir momentan sprechen. Fakt ist: Das US-Datenschutzniveau existiert im Wesentlichen nur auf dem Papier. Nachdem schon Safe Harbor und nachfolgend das Privacy Shield als Nachfolgeabkommen für den EU-US-Datenschutz gekippt wurden, liegt es durchaus im Bereich des Realistischen, dass dem aktuellen Abkommen, dem EU-US Data Privacy Framework, in Zukunft ähnliches widerfährt. Zwar hat man in den USA nachgebessert, und insbesondere unabhängige Prüfmöglichkeiten und neue datenschutzrechtliche Betroffenenrechte geschaffen, das ist aber eigentlich nicht ausreichend, denn in den USA kennt man den Datenschutz als höchstpersönliche Rechtsposition nicht so wie wir in der EU oder in Deutschland – in den Staaten geht es eher um die Frage, wer meine Daten monetarisieren kann und ob und wie ich sodann daran zu beteiligen bin.

Im Wesentlichen basieren die aktuellen Datenschutzgewährleistungen in den USA auf sogenannten „Executive Orders“, also einer Art von präsidentiellem Dekret, das der noch amtierende Präsident Biden geschaffen hat. Im Falle eines ungünstigen Wahlausganges im Sinne von „America First“ könnte eine solche Presidential Order von einem Tag auf den anderen zurückgenommen werden – und dann haben sehr viele Unternehmen ein unmittelbares Compliance Problem. Das ist das, was ich eingangs meinte – die Situation in der IT ist mittlerweile deutlich komplexer geworden, als es auf den ersten Blick scheint.

Wie kann Europa eine stärkere Vertrauensbasis für seine eigenen Technologien schaffen und sich gegen die großen globalen Player behaupten?

Wir müssen viel gezielter europäische Innovation und Kompetenz fördern, als es in der Vergangenheit der Fall gewesen ist. Politisch hat man dies vielleicht auch verschlafen, weil Regierungen eben meist nur von einer Wahl bis zur nächsten und damit recht kurzsichtig denken und planen. Wir können diese ungünstige Ausgangslage nicht von einem Tag auf den anderen zurückdrehen.

Fakt ist aber auch, dass wir in Deutschland und in der EU nicht so schlecht stehen, wie es oft medial verkauft wird, wenn es um digitale Souveränität geht. Wir haben für viele IT-Lösungen auch europäische und nationale Anbieter, die mögen vielleicht etwas teurer sein, nicht immer denselben Funktionsumfang bieten – aber letztlich ist hier auch vieles Gewohnheit im Sinne des alten IT-Mantras „never touch a running system“. Und genau davon werden wir uns künftig lösen müssen, auch wenn das zunächst unbequem und vielleicht mit höheren initialen Kosten verbunden sein mag.

Unternehmen setzen zunehmend auf Cloud-Lösungen, aber es bestehen immer noch Bedenken hinsichtlich des Datenschutzes. Was sind aus Ihrer Sicht die größten Missverständnisse bei der Nutzung von Cloud-Diensten?

Definitiv, dass es in diesen Zeiten nach wie vor nur auf Wirtschaftlichkeit und Skalierbarkeit ankommt. Schon jetzt wird der Begriff „Cloud Compliance“ immer wichtiger, weil mit den Risiken in der digitalen Lieferkette natürlich auch die regulatorischen Anforderungen an die Cloud Nutzung steigen. Ich kann als Unternehmen nicht einfach beliebig und unkontrolliert outsourcen, ohne zu prüfen, wohin und warum.

Andererseits werden aber auch zu wenige Anreize geschaffen, die Sicherheit und Vertrauenswürdigkeit von Cloud Anbietern sicherzustellen. Ja, es gibt natürlich so etwas wie ein C5 Testat, aber das ist weit davon entfernt, ein flächendeckender Cloud Cybersecurity Standard zu sein. Und auf europäischer Ebene tut man sich auch aufgrund von Lobbyarbeit mancher großen Hyperscaler sehr schwer damit, einheitliche Sicherheitsanforderungen für die Cloud zu bestimmen. Also, um es auf den Punkt zu bringen: Das größte Missverständnis ist für mich, dass ich mit Cloud alle IT-Verantwortung abgebe. Und das funktioniert nicht, es gibt keine „IT aus der Steckdose“ – es sei denn, ich ignoriere die damit verbundenen Unsicherheiten.

Worauf sollten Unternehmen besonders achten, wenn sie sich für einen Cloud-Dienstleister entscheiden?

Datenschutz und Cybersicherheit und nicht nur Preis und Funktionalität. Wenn ich mich für einen Anbieter entscheide, von dem ich weiß, dass er ohnehin den europäischen Datenschutz- und Cybersicherheitsanforderungen genügen muss, wird es auch für mich deutlich leichter, geforderte Nachweise gegenüber Kunden und Behörden zu erbringen. Gerade mit Blick auf die digitale Lieferkette wird es immer schwieriger, die geforderten Nachweise einzuholen und überprüfen zu lassen.

Man kann hier eine Analogie zu vielen anderen Sachverhalten ziehen: Wenn ich mich für ein Konto bei einer Bank in der Region entscheide, dann tue ich das, um im Zweifelsfall immer einen direkten Ansprechpartner vor Ort zu haben. Wenn ich einen Computer oder einen Pkw in der Nähe kaufe, dann doch, um eventuelle Gewährleistungsansprüche leichter geltend machen zu können. Und so ist es letztlich auch bei Cloud: Ich muss als User die Möglichkeit haben, schnell und unkompliziert mit einem Unternehmen in Kontakt zu treten, dem ich vertraue.

Es gibt Stimmen, die behaupten, dass der Datenschutz in der EU zu viel Raum einnimmt und dadurch Innovationen und die internationale Wettbewerbsfähigkeit behindert. Können Sie diese Kritik nachvollziehen?

Das ist immer ein gern verwendetes Argument, weil es auf den ersten Blick plausibel klingt und sich polemisch gut vermarkten lässt. Fakt ist aber: Wir sehen überall auf der Welt eine massive Zunahme von Cybersicherheits- und Datenschutzverstößen. Wir können nicht einfach wild digitalisieren und dann hinterher mit Data Breaches konfrontiert werden. Und schon jetzt sehen wir zusehends, dass es um die Vertrauenswürdigkeit von IT geht. Da diskutieren wir doch politisch fast jeden Tag drüber, und wie man diese Vertrauenswürdigkeit sicherstellen kann. Datenschutz und Cybersicherheit sind bei uns in der EU verfassungsrechtlich verankert, und das ist in diesen Zeiten wichtig und richtig.

Wie sehen Sie die Entwicklung des IT-Sicherheitsrechts in den nächsten Jahren? Welche neuen Herausforderungen werden auf Unternehmen zukommen?

Das IT-Sicherheitsrecht hat vor etwa zehn Jahren seinen Anfang beim Schutz der Kritischen Infrastrukturen gefunden, das war ein sehr eingeschränktes Sachgebiet. Und das BSI kannten wirklich nur Fachexperten, selten wurde in den Medien mal über Cybervorfälle berichtet. Ich denke, man kann mittlerweile berechtigterweise sagen, dass sich diese Situation grundlegend geändert hat. Und das hat auch dazu geführt, dass Cybersicherheit von einer rein sektorspezifischen Anforderung mittlerweile zu einer flächendeckenden Vorgabe, ja gar zum Eintrittserfordernis in den europäischen Binnenmarkt geworden ist.

Diese Entwicklung ist nicht vorbei, sondern sie hat gerade erst begonnen. Unternehmen werden deshalb einerseits mit mehr Anforderungen an die digitale Resilienz konfrontiert sein, aber andererseits auch mit deren Umsetzung zu tun haben. Und da sehe ich die ganz große Herausforderung, weil das Geld kostet und Personal erfordert und vielleicht auch unangenehme Entscheidungen im Management getroffen werden müssen. All das zusammengenommen wird kein leichter Weg sein.

Das letzte Wort würden wir gerne Ihnen überlassen: Gibt es ein Thema oder eine wichtige Botschaft, die wir noch nicht angesprochen haben, die Ihnen aber am Herzen liegt?

Definitiv! „Security by Design“ wird das Credo der IT-Zukunft sein, denn Prozesse können am Ende nur so sicher sein wie die ihnen zugrundeliegenden Produkte. Und wir haben ja nicht nur in diesem Interview gesehen, dass es an der Produktsicherheit zu oft noch mangelt. Deshalb haben wir als cyberintelligence.institute im European Cybersecurity Month eine neue Kampagne in das Leben gerufen, die dabei helfen soll, flächendeckend mehr Cybersicherheit von Anfang an sicherzustellen und hier arbeiten wir mit Herstellern und Beratern zusammen, um gemeinsame Standards für eine sichere, verlässliche und nachhaltige IT der Zukunft zu definieren.