Die Bereitschaft zur Digitalisierung wächst
Möglich wird das erst durch die in diesen Tagen stark wachsende Bereitschaft zur Nutzung digitaler Lösungen. Der wöchentliche Einkauf? Kein Problem, mobile Services liefern die Onlinebestellung aus dem Supermarkt bis vor die eigene Haustür. Verzicht auf Kultur? Keineswegs, das Angebot streambarer Kulturveranstaltungen wächst derzeit ebenso stark wie das Verlangen nach persönlichen Kontakten. Schulferien bis zum Sommer? Wohl kaum, selbst das Unterrichts- und Hausaufgabenmaterial der Schulen und Bildungseinrichtungen steht jetzt schon vor 08:00 Uhr pünktlich zum Download bereit. Durch die Corona-Krise wird das World Wide Web in diesen Tagen zur Selbstverständlichkeit und überzeugt selbst hartnäckige Skeptiker.
Diese Tendenz setzt sich im Arbeitsleben fort. Ob Videokonferenzen, Onlineberatung oder Remote-Trainings aus dem Home-Office, was vor einigen Wochen in der Wirtschaft und Verwaltung noch undenkbar war, ist plötzlich integraler Bestandteil des Geschäftsalltags und hilft, die Produktivität der Industrie und behördliche Dienste wenngleich auf schmerzlich reduziertem Niveau weiter aufrechtzuerhalten.
Apps im Kampf gegen Corona
Seit Mitte März drängt sich verstärkt ein anderes Digitalisierungsthema in den Vordergrund. Die Rufe nach der Nutzung von Bewegungs- und Kontaktdaten von Smartphones zur Eindämmung des Coronavirus werden auch in Deutschland spürbar lauter. Ziel ist es, die Kontaktwege von infizierten Personen flächendeckend und schnell nachzuvollziehen und somit der weiteren Ausbreitung von Covid-19 unter Zuhilfenahme der Digitalisierung entschlossen entgegenzuwirken. Derzeit erfassen Gesundheitsämter die Kontakte eines Menschen, der positiv auf das Coronavirus getestet wurde, vielfach noch mit Bleistift, Papier und Telefon – in Zeiten von stark ausgelasteter Personalressourcen eine Herkulesaufgabe. Würde sich die Corona-App in Deutschland durchsetzen, könnte sie vielleicht auch Teil der Exit-Strategie der Bundesregierung werden, um die angeordneten Kontaktverbote und andere Beschränkungen schrittweise zu lockern.
Chancen bergen Risiken
Bei allem Hype um Chancen und Möglichkeiten der Digitalisierung gilt es jedoch, die Risiken zu kennen und ihnen entschlossen entgegenzuwirken. Vielen Corona Apps erscheinen aus europäischer Sicht mit der heißen Nadel gestrickt. Das zielt zum einen auf die Funktionalität, auf der anderen Seite werden Datenschutz und IT-Sicherheit von vielen Stellen zurecht in Frage gestellt. Netzaktivisten und weite Teile der Bevölkerung mutmaßen deshalb eine Reihe politischer Tabubrüche, gerade in Datenschutzfragen – und das mit hoher Geschwindigkeit, die kaum einen gesellschaftlichen Diskurs zulässt. Als TÜViT möchten wir uns als unabhängige Prüfinstitution an der öffentlichen Diskussion beteiligen und die Perspektive prüfbarer Datensicherheit ins Zentrum der Debatte stellen. Nur wenn das gelingt, schaffen wir nachhaltiges Vertrauen in Digitale Lösungen – auch und gerade in Zeiten der Corona-Pandemie.
Lesen Sie hierzu ein Interview mit Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH.
Interview mit Dirk Kretzschmar: Ist die Datensicherheit der Corona-App prüfbar?
Herr Kretzschmar, können digitale Techniken bei der Bekämpfung der COVID-19-Pandemie hilfreich sein?
Die jüngeren Entwicklungen in der aktuellen Ausnahmesituation haben gezeigt, dass uns digitale Techniken zusätzliche Möglichkeiten verschaffen, die am Ende sogar Leben retten können, wenn man diese richtig und gezielt einsetzt. Die Digitalisierung wird darum derzeit nicht selten als Krisenprofiteur empfunden. Ich sehe aber vielmehr die Chancen im Vordergrund und das Potenzial, welches uns intelligente, digitale Technologien bereits heute bieten.
Die Deutsche Telekom hat dem Robert Koch-Institut (RKI) im März beispielsweise anonymisierte Standortdaten von Millionen deutscher Handynutzer übermittelt, mit deren Hilfe Bewegungsströme der Bevölkerung ermittelt werden, um die weitere Ausbreitung des COVID-19-Virus zu simulieren. Durch diese Prognosen werden wir in die Lage versetzt, Gegenmaßnahmen viel früher ergreifen zu können. Außerdem können die Bewegungsdaten genutzt werden, um die Wirksamkeit von Maßnahmen wie etwa den Erlass von Ausgangs- bzw. Kontaktbeschränkungen zu überprüfen.
Mit digitalen Plattformen können Kliniken und andere Gesundheitseinrichtungen freie Intensivbetten, Beatmungsgeräte und andere knappe Ressourcen koordinieren und optimal managen, um dramatische Situationen wie in anderen europäischen Ländern zu vermeiden.
Die Beispiele zeigen, dass wir verstärkt die Chancen nutzen sollten, die uns digitale Technik bietet. Im Vordergrund steht aber ausdrücklich: Helfen, nicht überwachen.
In Deutschland wird aktuell der Einsatz einer Tracking-App kontrovers diskutiert, die in ähnlicher Form in anderen Ländern bereits im Einsatz ist. Halten Sie solche digitalen Tools für mit dem europäischen Datenschutz vereinbar?
Das Land Südkorea war einer der Vorreiter bei der Nutzung solcher Tracking-Apps und konnte damit bei der Reduzierung der Neuinfektionen offenbar einige Erfolge verzeichnen. Die datenschutzrechtliche Situation in Europa unterscheidet sich natürlich deutlich von der in Südkorea. Mehrere deutsche Aufsichtsbehörden, darunter auch der Bundesdatenschutzbeauftragte, haben sich zum Einsatz dieser Tracking-Apps bereits differenziert geäußert.
Die Verarbeitung personenbezogener Daten steht gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) unter einem Erlaubnisvorbehalt, d.h. es bedarf für die Verarbeitung immer eines gesetzlich vorgesehenen Erlaubnistatbestandes. Auch Standortdaten einer Person sind personenbezogene Daten und unterliegen damit dieser Beschränkung.
In Betracht kommt vor diesem Hintergrund eigentlich nur die ausdrückliche Einwilligung des Betroffenen in die Erfassung seiner Standortdaten. Diese Möglichkeit sieht die DSGVO ausdrücklich vor. Insoweit ist der DSGVO-konforme Einsatz grundsätzlich möglich.
Dringend geboten ist aber auch die sicherheitstechnische Untersuchung der Netzwerk- und Transportsicherheit bzw. der Konfigurationsmöglichkeiten. Unbedingt müssen auch Penetrationstests zum Einsatz kommen, um die Widerstandsfähigkeit gegen Angriffe von außen zu prüfen. Auch um zu prüfen, was nach dem Löschen der App mit den Daten und Berechtigungen passiert, bzw. welche Zugänge danach offenbleiben.
Der Erfolg der App hängt damit also auch von der Mitwirkung der Bevölkerung ab? Lohnt sich da der ganze Aufwand?
Der App liegt der Gedanke des Solidaritätsprinzips zugrunde. Erst wenn sich eine Bevölkerungsmehrheit (>60%) an der Nutzung einer solchen App beteiligt, kann sie ihr volles Potenzial ausspielen. Jüngere Umfragen zeigen, dass diese Bereitschaft in der Bevölkerung durchaus vorhanden ist. Es setzt sich immer mehr die Erkenntnis durch, dass wir diese Krise am besten meistern, wenn wir sie gemeinsam und solidarisch angehen.
Auch die TÜViT fühlt sich diesem Grundsatz verpflichtet. Wir haben darum den beteiligten Ministerien und den Entwicklern in der vergangenen Woche ein kostenloses Angebot zur sicherheitstechnischen Prüfung der zum Einsatz vorgesehenen Tracking-App für die Bundesrepublik Deutschland unterbreitet. Auf diese Weise übernehmen wir Verantwortung und leisten unseren Beitrag in dieser herausfordernden Zeit.
Die Solidarität zieht sich übrigens durch die gesamte TÜV NORD GROUP, die in ihrer Bilanzpressekonferenz zudem angekündigt hat, Atemschutzmasken aus China auf Konformität zu prüfen. „Wir machen die Welt sicherer“ heißt unser Konzernslogan und diesen wollen wir auch leben.
Wenn die App zum Einsatz kommen soll, dann schnell. Können Sie vor diesem Hintergrund überhaupt eingehend prüfen, wie Sie es der Bundesregierung angeboten haben?
In Krisenzeiten ist es unabdingbar, flexibel und pragmatisch mit entsprechender Schwerpunktsetzung zu handeln. Unser grundsätzliches Vorgehen des Begleitens des gesamten Entwicklungsprozesses beginnend mit Prüfungen in der Design Phase ist aktuell leider nicht mehr möglich. Es besteht aber dennoch die Möglichkeit, eine „Tracking App“ im Phasenmodell zu prüfen. Im Level 1 erfolgt die Erstellung eines Gutachtens, ob dem Thema Datenschutz ausreichend Rechnung getragen wird. Das dauert zwischen 5 und 7 Werktagen. Die Datenschutzzertifizierung (Level 2) könnte parallel begonnen werden und würde nochmal den selben Zeitraum in Anspruch nehmen. Finales Ziel ist natürlich die Erreichung von Level 3. Aber auch mit den vorhergehenden Levels können wir die Datensicherheit der App drastisch erhöhen. Die TÜViT ist in der Lage und gewillt die notwendigen Ressourcen schnell und unkompliziert in der gewohnten Qualität zur Verfügung zu stellen, wenn unser Angebot abgerufen wird. Das heißt auch, dass wir als unabhängiger Dienstleiter neutral prüfen werden. Wichtig ist ebenfalls, dass eine vollständige und prüffähige Dokumentation der Lösung von Anfang an bereitgestellt wird.
Wie gehen Sie mit dem Druck aus der Krise um, auch für den Fall, dass das Testergebnis Ihrer Prüfung negativ ausfällt?
Eine Prüforganisation wie die TÜViT lebt von dem Vertrauen, dass die Bevölkerung in Sie setzt. Dieses in uns gesetzte Vertrauen würden wir auch in dieser Ausnahmesituation nicht verspielen. Durch unseren Einsatz möchten wir erreichen, dass die Bevölkerung die Sicherheit gewinnt, dass eine unabhängige Prüforganisation neutral und sachlich geprüft hat.
Wenn sich ein Großteil der Bevölkerung mit dem Einsatz der App solidarisch verhalten soll, muss auch gewährleistet sein, dass diese sicher ist.
Es ist übrigens nicht ungewöhnlich, dass im Rahmen einer Prüfung Mängel aufgezeigt werden. Wenn diese Erkenntnis dann dazu führt, dass solche behoben werden, haben wir unser Ziel ebenfalls erreicht.
Wäre die Prüfung einer Corona-App für die TÜViT ein Novum?
Nein, die Prüfung von Applikationen auf Datenschutz und Datensicherheit gehört zu den Kerntätigkeiten von Prüfstellen wie der TÜViT. Wir machen das nicht selten auch unter zeitlich herausfordernden Umständen. Schließlich ist der rechtzeitige Marktgang einer App ein entscheidender Wettbewerbsvorteil. Die TÜViT hat in der Vergangenheit schon eine Reihe namhafter Produkte und Hersteller geprüft.
Appropos, wie geht es eigentlich TÜViT in der Krise?
Auch an der TÜViT wird die Krise nicht spurlos vorbei gehen. Unsere Tätigkeit ist zwar nicht unmittelbar von dem sogenannten LockDown betroffen, aber als Dienstleister hängt unser eigener Erfolg nicht unerheblich davon ab, dass es auch unseren Kunden wirtschaftlich gut geht. Unter unseren Kunden befinden sich beispielsweise Hotelketten oder Autozulieferer, deren Geschäftsmodell derzeit massiv beeinträchtigt ist.
Im Unternehmen haben wir eine Vielzahl von Gesundheitsschutzmaßnahmen ergriffen, die unsere eigenen Mitarbeitenden, aber auch die unserer Kunden und Partner, schützen sollen. Als IT-Unternehmen haben wir die Möglichkeit unserer Mitarbeiter ortsflexibel, z.B. von zuhause, arbeiten zu lassen. Dennoch ist es uns ein Anliegen, für unsere Kunden auch in der Krise präsent und erreichbar zu sein. Dazu zählt auch, Audits – wo möglich – remote durchzuführen. Nach anfänglichem Zögern sind unsere Kunden sehr begeistert, wie effizient dies abläuft. Auch in anderen Bereichen habe ich mit meinen Mitarbeitenden kreative Lösungen erarbeitet, um den besonderen Umständen Rechnung zu tragen.
Für mich persönlich ist es wichtig, die richtigen Schlussfolgerungen aus der Krise zu ziehen. Es hat sich etwa gezeigt, dass in vielen Bereichen, was die Digitalisierung angeht, noch erheblicher Nachholbedarf besteht. Viele Unternehmen haben Mitarbeiter ohne große Vorbereitung ins Homeoffice geschickt, leider oft, ohne die Sicherheitskonzepte anzupassen. Der massive Ausfall von Schulunterricht wäre vermeidbar gewesen, wenn die Digitalisierung in den Schulen schon weiter vorangeschritten wäre. Viele Unternehmen stellen nun außerdem fest, welche Flexibilität durch die Digitalisierung gewonnen werden kann. Ich hoffe darum, dass wir am Ende als Gesellschaft und als TÜViT gestärkt aus der Krise hervorgehen können.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 10.000 Mitarbeitern und Geschäftsaktivitäten in weltweit 70 Ländern als einer der größten Technologie-Dienstleister agiert.
TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die Gesellschaften TÜV Informationstechnik GmbH und der im Januar 2018 neu gegründeten Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
Weitere Informationen unter: www.tuvit.de
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de