Die Ampel-Regierung aus SPD, FDP und Grüne hat am vergangenen Mittwoch den Koalitionsvertrag präsentiert. Auch wenn es sich nur um einen Fahrplan handelt und viele Punkte lediglich gestreift werden, wird trotzdem eines deutlich: Der digitale Wandel, der Datenschutz und IT-Sicherheitsthemen sollen zu Kernthemen der kommenden Legislaturperiode werden.
Wir haben uns die Ergebnisse der Verhandlungen genauer angesehen und wollen in diesem Blogeintrag verschiedene Aspekte beleuchten: Welche Punkte rund um die Themen IT-Sicherheit und den Datenschutz stecken im Koalitionsvertrag? Decken sie sich mit unserem Verständnis und unseren Anforderungen an Datenschutz und Datensicherheit? Und welches Fazit ziehen wir für Stackfield und die Zukunft unseres Tools?
Das „Recht auf Verschlüsselung“ und die Vorgabe „Security-by-design“
„Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, und die Vorgaben "security-by-design/default" ein.“
Um was geht es beim Recht auf Verschlüsselung? Bereits Ende 2018 wurde über einen Antrag der FDP beraten, der u. a. dieses Recht forderte. Zum einen soll damit die allgemeine Akzeptanz für Verschlüsselungstechnologien gestärkt, zum anderen sollen Grundrechte wie die Privatsphäre und die Vertraulichkeit der Kommunikation gewahrt werden.
Die Menschen brauchen Vertrauen in die Digitalisierung – dafür ist das Thema Sicherheit entscheidend. Der Ansatz geht aus unserer Sicht einen wichtigen Schritt in die richtige Richtung. Auch wir nutzen eine Ende-zu-Ende Verschlüsselung, um die Kommunikation und die Daten von Unternehmen in Stackfield bestmöglich zu schützen und einen Zugriff durch Unbefugte zu verhindern. Während allerdings viele Anbieter „nur“ eine Ende-zu-Ende Verschlüsselung der Kommunikation – wenn überhaupt – anbieten, verschlüsseln wir nicht nur Chat-Nachrichten, sondern das gesamte Projektmanagement – also auch Dateien, Aufgaben oder Termine. Digitale Zusammenarbeit bedeutet schließlich mehr als nur Kommunikation. Ein weiterer interessanter Punkt im Koalitionsvertag: Auch der Staat muss „verpflichtend die Möglichkeit echter verschlüsselter Kommunikation“ anbieten. Unklar bleibt in unseren Augen, was mit „echter“ verschlüsselter Kommunikation genau gemeint ist. Interessant wird zu sehen sein, ob beispielsweise Hintertüren für Behörden offengehalten werden, damit u. a. die Polizei bei der Bekämpfung von Kriminalität auf relevante Daten zugreifen kann. Denn oftmals wollen Länder mitlesen, obwohl es sich um eine verschlüsselte Kommunikation handelt.
Der Begriff „Security-by-design” lässt sich im Vergleich zum „Recht auf Verschlüsselung“ relativ simpel erklären: Er bedeutet, dass bereits bei der Entwicklung Sicherheitsstrategien und -anforderungen berücksichtigt werden, um das Risiko für spätere Sicherheitslücken möglichst gering zu halten. Für den Endnutzer hat das Prinzip den großen Vorteil, dass keine eigenständigen Behelfslösungen oder im Nachhinein implementierte Anpassungen notwendig sind, um das gewünschte Sicherheitsniveau zu erreichen. Insbesondere für technisch weniger versierte Nutzer wird so von Grund auf eine sichere Nutzung gewährleistet.
Diese Vorgabe ist nach unserem Verständnis zweifelsfrei zielführend und deckt sich mit unserem Grundsatz „höchste Anforderung an Datenschutz und Datensicherheit“, den wir inzwischen seit über 10 Jahren verfolgen. Früher haben viele Unternehmen diese Sicherheitsthemen als lästiges Übel und Verursacher höherer Entwicklungskosten angesehen, für uns hat sich diese Grundsatzentscheidung mittlerweile als entscheidender Wettbewerbsvorteil entpuppt – und er bestätigt uns, dass wir von Anfang an den richtigen Weg gegangen sind.
Sicherheitslücken legal identifizieren, melden und schließen
„Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein.“
Dieses Ergebnis aus den Koalitionsverhandlungen ist besser bekannt als „Responsible-Disclosure-Verfahren“. Ein aktuelles und prominentes Beispiel: Im August 2021 wurde eine Sicherheitslücke in der Wahlkampf-App der CDU entdeckt und verantwortungsvoll gemeldet. Die Entdeckerin wurde daraufhin allerdings von der Partei angezeigt – letztlich wurde die Anzeige dann doch zurückgezogen.
Wir finden es richtig, dass solche Verfahren legal durchführbar sein sollen. Niemand sollte sich Gedanken über potenzielle Strafen machen müssen, wenn er oder sie eine Sicherheitslücke vertrauensvoll meldet. Unternehmen und Institutionen wird damit die Möglichkeit gegeben, Schwachstellen sicher zu beheben – andernfalls würde bei den Nutzern ein Gefühl falscher Sicherheit entstehen. Auch wir entwickeln Stackfield stetig weiter, optimieren bestehende Funktionen und beheben selbstverständlich regelmäßig auch Bugs innerhalb des Tools. Auch Sicherheitsupdates gehören zum Tagesgeschäft und sind für uns zwingend notwendig, um Sicherheit zu garantieren, ein optimales Nutzererlebnis zu schaffen und langfristig wettbewerbsfähig zu bleiben. Spannend wird in Zukunft zu sehen sein, in welchen Umfang das Identifizieren von Sicherheitslücken zulässig sein wird und wie die Bundesregierung die Abgrenzung zwischen White-Hat-Hackern (Hacker, die beauftragt werden und die legalen Rahmenbedingungen eines Eingriffs beachten) und Grey-Hat-Hackern (Hacker, die sich in einem Graubereich bewegen und beispielsweise Systeme angreifen, um Lücken zu identifizieren) schaffen wird.
Der Datenschutz gewinnt weiter an Relevanz
„Die Datenschutzgrundverordnung (DSGVO) ist eine gute internationale Standardsetzung. Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.“
Im Abschnitt „Nutzung von Daten und Datenrecht“ sieht die Ampel-Regierung in erster Linie vor, dass es für Unternehmen, Start-Ups, die Wissenschaft, den Staat und die Gesellschaft einen besseren Zugang zu Daten geben soll, damit diese besser genutzt und Innovationen vorangetrieben werden können. Der Datenschutz soll dabei kein Hindernis sein. Stattdessen soll er in Zukunft noch besser durchgesetzt werden und verbindliche Beschlüsse durch die Datenschutzbehörden von Bund und Ländern geschaffen werden.
In anderen Worten: Der Datenschutz gewinnt weiter an Relevanz! Aus unserer Sicht ist es zwingend notwendig, dass eindeutige rechtliche Entscheidungen und Richtlinien getroffen werden – denn das schafft Klarheit und Rechtssicherheit für jeden. In der Vergangenheit gab es immer wieder unterschiedliche Rechtsaussagen der Behörden, bis heute wird die DSGVO verschieden ausgelegt. Der Datenschutz darf für Wettbewerber aus EU-Drittstaaten – beispielsweise aus den USA – nicht „leichter“ sein und er darf Innovationen in der EU nicht ausbremsen. Die Regeln müssen für alle gleich sein, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden, und gleichzeitig Fortschritt erlauben.
Internationale technische Standards & durchgängige Ende-zu-Ende Verschlüsselung
„Wir wollen eine Verpflichtung zur Interoperabilität auf europäischer Ebene […]. Dabei sollen – basierend auf internationalen technischen Standards – das Kommunikationsgeheimnis, ein hoher Datenschutz und hohe IT-Sicherheit sowie eine durchgängige Ende-zu-Ende-Verschlüsselung sichergestellt werden.“
Wir wollen inhaltlich nicht zu tief in diesen Abschnitt eintauchen, er zeigt allerdings, welche Wichtigkeit den Themen Verschlüsselung und Datenschutz im Koalitionsvertrag beigemessen wird. Auch dass bei der Interoperabilität von „internationalen technischen Standards“ die Rede ist, die u. a. einen hohen Datenschutz sicherstellen sollen, ist aus unserer Sicht ein positives Zeichen. Wichtig wird aber am Ende des Tages sein, wie diese Standards aussehen und Begriffe wie die „Ende-zu-Ende Verschlüsselung“ trennscharf definiert werden – denn alleine dieser Begriff wird bis heute immer noch oft falsch verwendet.
Stackfield geht seit Gründung den richtigen Weg
Der Fahrplan von SPD, FDP und Grüne umfasst viele wichtige Ideen rund um die Digitalisierung, den Datenschutz und die IT-Sicherheit, die in der alten Bundesregierung wahrscheinlich nicht den gleichen Stellenwert gehabt hätten. Ob er auch erfolgreich in die Tat umgesetzt wird, muss sich zeigen. Die Ansätze bestärken uns aber in erster Linie darin, dass der Weg, den wir vor 10 Jahren mit Stackfield eingeschlagen haben, der richtige war. Sie zeigen, dass Datenschutz und Datensicherheit nicht nur „Hygiene-Faktoren“ sind. Themen wie „Security-by-design“ oder das Recht auf Verschlüsselung zwingen uns nicht, eine neue Richtung einzuschlagen oder die Weiterentwicklung von Stackfield anzupassen oder zu überdenken. Sie sind Teil unseres gelebten Alltags – wir wollen die Zusammenarbeit in Unternehmen eben nicht nur so übersichtlich und einfach wie möglich gestalten, sondern auch so sicher wie möglich.
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.