Sicherheit für die digitale Zukunft

Digitale Transformation kontra Datenschutz und -sicherheit

| Autor / Redakteur: Joachim Jakobs / Peter Schmitz

Künstliche Intelligenz und die digitale Transformation vieler Lebensbereiche stellen eine besondere Herausforderung für die Sicherheit persönlicher Daten dar.
Künstliche Intelligenz und die digitale Transformation vieler Lebensbereiche stellen eine besondere Herausforderung für die Sicherheit persönlicher Daten dar. (Bild: Pixabay / CC0)

Die digitale Transformation generiert immer schneller immer mehr Daten. Künstliche Intelligenz wird immer besser darin, große Mengen an Daten zu verarbeiten und daraus Schlüsse zu ziehen. All das ist für neue Geschäftsmodelle und die Automatisierung von Prozessen eine tolle Sache, das große Risiko ist allerdings, dass bei der ganzen Daten­euphorie der Datenschutz und die Daten­sicherheit zu kurz kommt.

Hundert Terabytes benötigen per LTE (300 MBit/s) 31 Tage zur Übertragung – eine Übung die sich per 5G (1 GBit/s) auf knapp 10 Tage reduziert. Künftig wollen wir aber Daten in Bakterien speichern und über Petabit-Leitungen übertragen, um so personalisierte Prothesen, menschliche Organe, Medikamente, Lebensmittel, Kleidung, Möbel, Autos/Häuser (aus der Ferne) in 3D zu drucken, Lohnabrechnungen per RFID und videobasierte Persönlichkeitsprofile in Echtzeit zu erstellen oder mit der Genschere CRISPR am Erbgut rumzufummeln. 3D-Echtzeit­rekonstruktions­verfahren ermöglichen die natürliche Kommunikation örtlich getrennter Gesprächspartner – so werden Wissenschaft, Forschung und Lehre umgekrempelt.

Auch Banken, Energieversorger, Stadtverwaltungen, Telekommunikationsunternehmen und (Sozial-)Versicherungen stehen vor der digitalen Transformation: „Vom alltäglichen Beschwerdemanagement bis zur zukunftsorientierten Vertriebssteuerung – überall können Entscheidungen, die bisher mit Erfahrung und einer gesunden Portion Bauchgefühl getroffen wurden, durch stetig wachsende Datenbestände, ausgeklügelte Algorithmen und Künstliche Intelligenz (KI) gestützt oder gänzlich automatisiert werden.“ Die KI soll bei Steuerberatern „alle umsatzsteuerrelevanten Daten“ auswerten und strukturieren, „so dass die Angaben aus allen Datenquellen automatisiert auf Knopfdruck zur Umsatzsteuervoranmeldung genutzt werden können“. Ein Roboter-Anwalt soll bereits menschliche Kollegen ersetzen. Zur Vernetzung der Welt stehen uns 350 Sextillionen IP-Adressen zur Verfügung. Damit ließen sich die 100 Billionen Körperzellen von theoretisch 10 Milliarden Erdenbürgern 350.000 mal durchnummerieren. Die Zeit, um die (unbeabsichtigte oder unrechtmäßige) Übertragung des oben genannten Datenvolumens abzubrechen, würde sich mit einer Petabit-Leitung auf eine Sekunde reduzieren.

Wer die KI beherrscht, beherrscht die Welt.

Die Kehrseite der Medaille – auch auf der kriminellen Seite tut sich Einiges: Je breitbandiger die Netzverbindungen, desto massiver die möglichen Konsequenzen von Überlastungsangriffen. Schlimmer noch: Kriminelle künstliche Intelligenz erteilt wahlweise Empfehlungen, bei welcher IP-Adresse ein Angriff lohnt -- oder führt diesen Angriff auf Wunsch auch noch autonom durch. Ziel auswählen -- fertig!

Von Betroffenen werden bereits heute Millionen Euro bezahlt, damit die Gesundheitsakte nicht im Internet veröffentlicht wird. Wie viel zahlen Sie dafür, dass niemand an Ihren elektronischen Innereien rummacht? Und: Werden Sie mit diesen Innereien zum Risiko für Ihren Arbeitgeber? Bis 2021 wird damit gerechnet, dass die Cyberkriminalität weltweit 6 Billionen (!) US-Dollar jährlich macht. Unklar ist dabei lediglich, ob in diesem Betrag die künftige Leistungsfähigkeit/Anwendungen bereits berücksichtigt sind oder ob diese Beute noch obendrauf kommt. Der Russische Präsident Wladimir Putin ist jedenfalls der Ansicht, wer die KI beherrsche, beherrsche die Welt.

Bislang drücken wir uns vor der Debatte, ob wir beherrschen, was wir tun. Und was das Alles für uns bedeutet: Gesundheitsminister Jens Spahn möchte die elektronische Patientenakte per "Smartphone" zugänglich machen – sinnvoll wäre es jedoch, die Patientenakte, das schlaue Telefon und alle anderen an diesem System beteiligten Hard- und Softwarebausteine zwischendrin zunächst einem unabhängigen Pentest zu unterziehen.

Haften müssen die Verantwortlichen – in der Wissenschaft könnte beispielsweise Wolfgang Wahlster, Geschäftsführer vom Deutschen Forschungszentrum für Künstliche Intelligenz in Saarbrücken zu dieser Spezies zählen. Zumindest wäre es denkbar, dass etwa im Forschungsprojekt „Human Analytics Apps TrackMe und GeoVisualizer“ personenbezogene Daten verarbeitet werden. Bereits auf der Cebit 2014 soll gezeigt worden sein „wie Vitalparameter, Emotionen, Aktivitäten und personenbezogene Daten wie Geschlecht oder Alter mit Informationen aus der unmittelbaren Umgebung in Verbindung gebracht werden können“. Solche Vitalparameter könnten für „Generali Vitality“ verlockend sein – der Versicherungskonzern will seine Kunden „für jeden Schritt in ein gesünderes Leben“ belohnen. Bislang hat sich die DFKI-Pressestelle jedenfalls nicht dazu geäußert, ob das Institut tatsächlich in irgendeinem seiner 240 Forschungsprojekte mit realen personenbezogenen Daten umgeht. Oder stattdessen Testdaten nutzt. Bei jedem dieser Projekte mit personenbezogenen Daten wäre derjenige, der über die Mittel und Zwecke der Datenverarbeitung entscheidet, für die Einhaltung von Artikel 5, Absatz 1 der Datenschutzgrundverordnung „verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“.

Datenschutz-Folgenabschätzungen sind für viele Anwendungen Pflicht – es weiß nur keiner!

Zur Rechenschaftspflicht gehört auch die „Sicherheit der Verarbeitung“; in Artikel 32 schreibt der Gesetzgeber: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Das bedeutet: Der Verantwortliche ist verpflichtet, die Eintrittswahrscheinlichkeit und Schwere von Risiken systematisch zu erfassen, zu bewerten und daraus das angemessene Schutzniveau abzuleiten. Dieses Schutzniveau muss dann durch die Technischen und Organisatorischen Maßnahmen (TOM) auf dem ‚Stand der Technik‘ erreicht werden. Das Justizministerium definiert den Begriff so: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen […] müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein“. Der Regierung ist also das Beste grade gut genug, was der Markt an TOM hergibt.

Sollte sich bei der Risikoanalyse herausstellen, dass die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat, „so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“.

Eine Datenschutz-Folgenabschätzung ist dem Gesetzgeber besonders bei der systematischen und umfassenden „Bewertung persönlicher Aspekte natürlicher Personen“ wichtig, „die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“. Solche Entscheidungen könnten womöglich in Belohnungen bestehen, wie sie Generali Vitality verspricht.

Die Datenschutz-Folgenabschätzung (DSFA) enthält dem Gesetzgeber zufolge „zumindest Folgendes:

  • 1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • 2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • 3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen [...] und
  • 4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Verantwortliche sind auf verschiedenen Ebenen rechenschaftspflichtig: Der Projekt-Verantwortliche muss diesem Anspruch in seinem Projekt gerecht werden. Und Geschäftsführer Wolfgang Wahlster muss dafür sorgen, dass die Projektleiter von ihrer Rechenschaftspflicht überhaupt Notiz nehmen. Wobei die Nicht-Kenntnisnahme den Projektleiter nicht entschuldigt; das einzige Schlupfloch: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung [...] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Der TÜV Nord warnt: „Datenschutz: Ab 2018 haften Geschäftsführer in Millionenhöhe“.

Zusammengefasst verlangt die DSGVO nach „Sicherheit 4.0“ Das bedeutet: Wir müssen -- flächendeckend, systematisch, proaktiv! -- investieren in Sicherheits- und Notfallkonzepte, physikalischen Einbruchschutz, elektronische Signaturen, kryptographische Verschlüsselungen, IAM-/SIEM-Systeme, rollenspezifische Bildung für Alle, herstellerunabhängige, (nach Möglichkeit dynamische) Gütesiegel für die Wolke sowie Produkte/Dienstleistungen/"Apps" und Penetrationstests. Dabei bitte den Stand der Technik nicht vergessen – vielfach ist das KI, denn KI soll auch Wege finden, die dem Menschen auf den „ersten Blick“ verborgen bleiben.

Je früher die Verantwortlichen die Zusammenhänge verstehen, desto billiger wird es!

Mehr noch: Wir müssen den ebenfalls durch die digitale Transformation betroffenen Handwerkern und Freiberuflern samt deren Personal die Zusammenhänge erklären. Unklar ist allerdings, woher wir die nehmen sollen, die Millionen Mittelständler über die Zusammenhänge und ihre sich daraus ergebenden Pflichten aufklären.

Sicher ist nur: Die technische Entwicklung geht weiter – Claus Cristian Timmermann, Professor für Nachrichtentechnik denkt über „Exabit/s“ nach. Dadurch würde sich die Zeit zur Übertragung von 100 Terabytes wohl auf eine tausendstel Sekunde reduzieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45552614 / Compliance und Datenschutz )