Compliance 4.0 – der Blog zur regelkonformen Vollautomatisierung der Welt

/in , , , , , , , , /von

Echtzeitdatenverarbeitung und Fernsteuerung (industrieller) Prozesse und Produkte enthalten ein gewaltiges Potential – auch für (potentiell tödliche) Unfälle/Angriffe. Das verlangt nach Regelkonformität in Echtzeit. Über die gesamte Lieferkette – der Verantwortlichen und derer, die sie finanzieren/versichern. Die Herausforderungen müssen sich im Bildungssystem spiegeln.

Von Joachim Jakobs

Vor 80 Jahren hat Konrad Zuse die „Z3“, den – laut Wikipedia – „ersten funktionsfähigen Computer der Welt“ vorgestellt. Seither wachsen die technischen Möglichkeiten. Es droht gar „Hyperkonnektivität“ – Detecon erklärt: „Hyperkonnektivität bezeichnet eine beispiellose Vernetzung von Personen, Geräten, Systemen und Organisationen. Sie läutet eine Zukunft ein, in der wir über verschiedene Geräte und Plattformen ständig mit anderen und der Welt um uns herum verbunden sein werden.“

Ständige Verbundenheit ist Voraussetzung für die „Echtzeit-Datenverarbeitung“: „Jede Änderung in der Personalakte wird in Echtzeit mit der Gehaltsabrechnung synchronisiert und ist auf dem Lohnzettel sichtbar“, wirbt  eine Softwareentwicklerin. Nicht nur Daten lassen sich fix verarbeiten – auch Geräte können gesteuert werden: „4G war bis jetzt für viele IoT-Anwendungen ausreichend, aber 5G eröffnet neue Möglichkeiten für Hochleistungsanwendungen im IoT, z.B. Echtzeitanwendungen wie autonomes Fahren“, heißt es bei dem Österreichischen Technikanbieter A1.

Autonom könnten beispielsweise Lieferdienste Essen mit Drohnen ausfahren – absolut cool und wesentlich klimafreundlicher als eine Tonne Stahl für den Transport von ein paar Gramm Essen zu bewegen! Mit medizinischen Implantaten könnten Blinde wieder sehen, Lahme wieder gehen und Taube wieder hören. Die industrielle Produktion könnte sich vollständig automatisieren lassen.

Kein Wunder, dass Siemens angesichts solcher Aussichten Milliarden dafür springen lässt.

 

Bild: Notebookcheck

 

 

 

 

 

 

Mit der technischen Leistungsfähigkeit gehen jedoch Risiken einher: Nicht jede der so fixen Verarbeitungen ist rechtens, Daten lassen sich nicht nur in Echtzeit verarbeiten, sondern können auch genauso schnell verloren gehen. Schlimmer noch: Die technischen Möglichkeiten stehen nicht nur den Berechtigten zur Verfügung: Wer früher nennenswert Daten stehlen wollte, musste mit dem LKW vorfahren. Heute ist das anders: Im Oktober 2024 soll in zwei Hamburger Arztpraxen eingebrochen und Hardware mit 100.000 Patientendatensätzen gestohlen worden sein. Da es keine Einbruchspuren geben soll, wird spekuliert, ob die Täterin über einen Schlüssel verfügt hat. Mit Patientendaten lässt sich nicht nur Geld, sondern auch Firmeninterna der Arbeitgeberinnen von der Betroffenen  erpressen. Daher sollen Kriminelle für Patientendaten bis zu 1000 Dollar bezahlen. Tatsächlich scheinen die Verantwortlichen mit der Cybersicherheit auf Kriegsfuß zu stehen – im Januar 2024 beklagte die Allianz eine „wachsende Zahl von Vorfällen, die durch mangelhafte Cybersicherheit“ verursacht werde.“

Nicht auszuschließen ist, dass da Ignoranz auf Seiten der Verantwortlichen im Spiel ist – die Firma Everphone zitiert dazu ihre Kundinnen auf ihrer Internetseite:

 

  • „IT-Leitungen in der Verweigerungshaltung
  • „Die DSGVO ist mir scheißegal!

Bildschirmfoto: everphone.de

 

Richard Knowlton, Direktor für Security Studies der Oxford Cyber Academy bestätigt, es seien „in erster Linie Menschen die Wurzel des Problems, da sie für mehr als die Hälfte aller Cybervorfälle verantwortlich sind. Es gibt schlichtweg kein Service Pack, das Sicherheitslücken wie Unwissen, mangelnde Umsicht, Dummheit oder (in manchen Fällen) Bösartigkeit von Menschen schließt.

Angesichts der zunehmenden Regelverstöße sollen 2023 die DSGVO-Bußgelder ein neues „Rekordhoch“ erreicht haben.

Die Zukunft wird nicht lustiger – mit der Hypervernetzung könnten auch „Hyperrisiken“ einhergehen. Wissenschaftlerinnen schreiben mit Blick auf „Vernetzung und Interkonnektivität“: „Dies bedeutet, dass die Folgen von Katastrophen über die Grenzen hinausgehen und eine regionale und globale Reichweite haben.“

Daraus schlußfolgert die Firma Panaseer: „Da die Cybersicherheit heute eines der größten Risiken für Unternehmen darstellt, ist es wichtig zu verstehen, wer für Cyberrisiken rechenschaftspflichtig ist und welche Rolle jeder Einzelne bei der Aufrechterhaltung einer starken Sicherheitslage spielt.“

Reine Theorie von Schwarzmalern? Mitnichten! So wurde ein Industrieroboter bei Volkswagen vor Jahren beschuldigt, einen Arbeiter getötet zu haben. In Seoul wollte ein Arbeiter 2023 einen Roboter zum Stapeln von Gemüsekisten auf Funktionstüchtigkeit prüfen. Dabei musste er feststellen, dass das nicht der Fall war – diese Erkenntnis hat er mit dem Leben bezahlt: Der Roboter hat ihn mit einer Gemüsekiste verwechselt und zerquetscht. Das waren – soweit bekannt – Unfälle. Das muss nicht so bleiben: Die Unternehmensberatung Gartner befürchtet, dass die Angreiferinnen „bis 2025“ über die Fähigkeit verfügen könnten, vernetzte Industriegeräte „als Waffen“ zu mißbrauchen, „um erfolgreich Menschen zu schaden oder zu töten“.

Sicherheitsfirmen warnen: (Feindliche) „Künstliche Intelligenz nutzt Schwachstellen in Systemen mit einer Erfolgsquote von 87 Prozent aus“ – das könnte womöglich auch in Echtzeit stattfinden. Es drohen apokalyptische Konsequenzen, sollten sich Schwachstellen in vernetzte Pizzadrohnen, Autos, Flugzeuge, Schiffe oder medizinische Implantate einschleichen.

Seit 2018 hatten die Verantwortlichen per DSGVO Gelegenheit, den Nachweis der Regelkonformität zu üben. Dazu empfiehlt sich die Lektüre der Artikel 5 und 32 der Verordnung: Dort legt die Gesetzgeberin der Verantwortlichen eine „Rechenschaftspflicht“ für den Nachweis auf, dass sie den „Stand der Technik“ (SdT) bei ihren Technischen und Organisatorischen Maßnahmen“ (TOM) einhält.

Das Justizministerium definiert die Vokabel so: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“ Und die „activeMind AG Management- und Technologieberatung mit Sitz in München und Berlin“ unterstreicht: „Behalten Sie den Stand der Technik unbedingt im Auge. Durch die technische Weiterentwicklung kann es zum Beispiel in absehbarer Zeit heißen, dass der Stand der Technik immer die Verwendung von Inhaltsverschlüsselung zur Vorgabe macht.“

Das klingt so, als ob es bislang noch auf die Laune der Verantwortlichen ankommt, ob sie ihre Daten nun verschlüsselt oder nicht?! Das wäre ein Irrtum – denn aus dem „Computergrundrecht“ ergibt sich für Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen „ein Recht aller Bürgerinnen und Bürger auf die Verschlüsselung ihrer Daten“.

Datenschutz als Standard und durch Technikgestaltung zählt daher zu den „grundlegenden Prinzipien“ und die Verantwortliche ist gut beraten, ihre Lieferkette darauf zu verpflichten. Softwarestücklisten (SBOMs) könnten sich beim Nachweis der Regelkonformität als nützlich erweisen.

Das Stopfen von Sicherheitslücken soll mittlerweile während des laufenden Betriebs möglich sein – etwa mit GNU/Linux:
„Im Vergleich zu anderen Betriebssystemen ist die Patch-Verwaltung bei Linux einzigartig, da es sich um ein Open-Source-System handelt, das es einer großen Gemeinschaft von Entwicklern und Sicherheitsexperten ermöglicht, Schwachstellen zu finden, den Code zu untersuchen und Patches einzureichen.

Linux-Distributionen verwenden Paketmanager, um den Benutzern die Installation von Softwarepaketen und Updates zu erleichtern. Diese Pakete automatisieren den Prozess des Herunterladens, der Installation und der Auflösung von Abhängigkeiten, was die Anwendung von Patches vereinfacht.“

Der frühere Bundesdatenschutzbeauftragte Ulrich Kelber schlußfolgert: „Open Source ist kein Dogma. Auch mit proprietärer Software können natürlich alle datenschutzrechtlichen Anforderungen erfüllt werden. Die inhärente Transparenz von Open Source führt aber typischerweise zu einer einfacheren und möglicherweise besseren Nachweisbarkeit der Datenschutzkonformität. Open Source hat also das Potenzial, zu einem echten Vertrauensanker der Digitalisierung zu werden.“ Soweit die Regeln zur Verarbeitung personenbezogener Daten.

Das ganze Konzept bezeichnen Fachleute als „Sicherheit auf Basis des Misstrauens“ (Zero Trust). Dieses geht – so Wikipedia – davon aus „dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist. Im Gegensatz zu traditionellen Sicherheitsansätzen, die darauf abzielen, das Innere des Netzwerks als vertrauenswürdig zu behandeln und den Zugriff von innen nach außen zu kontrollieren, legt Zero Trust Security den Schwerpunkt auf eine kontinuierliche Überprüfung und Authentifizierung aller Benutzer und Geräte, unabhängig von ihrem Standort oder ihrer Herkunft“. Das „Center for Technology and Management Education“ (Caltech) der Universität von Kalifornien präzisiert:

„Die Implementierung von Zero-Trust-Sicherheit erfordert die Integration verschiedener Technologielösungen, wie z. B. Identitäts- und Zugriffsmanagementsysteme (IAM), Endpunktsicherheitstools, Verschlüsselungstechnologien und SIEM-Systeme (Security Information and Event Management).

Jede einzelne Maßnahme muss SdT entsprechen. Null Vertrauen insgesamt ist SdT. Damit ist Null Vertrauen nicht  von der Gesetzgeberin vorgeschrieben – wer aber meint, darauf verzichten zu können, muss nachweisen, wie sie ein vergleichbares Sicherheitsniveau erzielen kann.

Diese Forderung für die industriellen Prozesse, die seit Oktober 2024 per NIS-2  geregelt sind. Ab 2027 sollen Herstellerinnen für Produkte mit „digitalen Elementen“ nach Cybersicherheitsgesetz (Cyber Resilience Act, CRA) haften.

Das Ergebnis formuliert der Rechtsanwalt Aaron Hall: „Unternehmen, die gegen Datenschutzgesetze und -vorschriften verstoßen, müssen mit ernsten rechtlichen Konsequenzen rechnen. Das Versäumnis, angemessene Datensicherheitsmaßnahmen zu ergreifen, kann zu Schadensersatzansprüchen, behördlichen Durchsetzungsmaßnahmen und Geldstrafen führen. Aufsichtsbehörden können beträchtliche Strafen verhängen, und Sammelklagen können Unternehmen einer erheblichen rechtlichen Haftung aussetzen. Darüber hinaus können strafrechtliche Konsequenzen verheerende Auswirkungen auf den Ruf und die finanzielle Stabilität eines Unternehmens haben. Um sich vor diesen Risiken zu schützen und die Datenschutzbestimmungen einzuhalten, ist es für Unternehmen unerlässlich, die rechtlichen Folgen von Datenschutzverstößen zu verstehen, und es gibt noch mehr zu diesem wichtigen Thema zu erfahren.“

Apropos Strafen: Ärztinnen zählen (wie Anwälte/Steuerberater) zu den „Geheimnisträgern“. Wenn die Geheimnisse verpetzen, müssen sie mit einer Freiheitsstrafe von bis zu einem Jahr rechnen.

Wer der fahrlässigen Tötung überführt wird, muss mit fünf Jahren Knast rechnen. Und sollte Schadsoftware in die Lieferkette fahrender Rechenzentren oder gar ins schlaue Auto selbst gelangen, ist mit einem Zulassungsverbot zu rechnen.

Auswirkungen auf die finanzielle Stabilität — eine unzulässige Untertreibung: „Hackerangriff verschärft die Krise – Traditionsunternehmen nach 194 Jahren insolvent“, titelte t-online im Oktober 2024. Da könnten diejenigen nervös werden, die  Firmen (ver-)kaufen, Eigen-/Fremdkapital oder Unternehmensversicherung anbieten. Deshalb hat die Europäische Bankenaufsicht „Leitlinien für das IKT- und Sicherheitsrisikomanagement“ „für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister (PSP)“ veröffentlicht.

Das Bewusstsein für die wachsende Bedeutung der Regelkonformität in Echtzeit über im gesamten Liefernetz muss sich auf die Curricula im Bildungswesen niederschlagen – Cybersecurity4Schools – ein „gemeinsames Projekt von EIT Digital und dem Fraunhofer IAIS“ – verfolgt „das Ziel, Schüler*innen in Europa fit in Sachen Cybersicherheit zu machen. Dafür werden Lehrkräfte nach dem »Teach-the-Teacher«-Prinzip kostenfrei zum Thema ausgebildet.“ Von einer systematischen Ergänzung der des gesamten Bildungswesens um „IT-Compliance“ sind wir meilenweit entfernt.

 

„Compliance 4.0“ wird einmal wöchentlich über Chancen, Risiken, Rechtsfolgen, finanzielle Konsequenzen und Auswirkung der Digitalisierung auf das Bildungswesen berichten.

 

 

Ähnliche Beiträge

Compliance in einer KI-zentrierten Welt Fünf Kernschritte zur DSGVO-Compliance Was die (Arbeits-)Welt zusammenhält Process Days 2018: Governance, Risk und Compliance prozessorientiert managen
Das könnte Dich auch interessieren
IT-Partnerschaften: Gemeinsam zum Erfolg
BPO am Puls der Zeit
Neue Energie durch Abwasser
Frauen in der IT? Ernsthaft!
Verschlüsselung für die Cloud
Leistungsschau der digitalen Transformation 2.0