key: cord-0039862-70h02wie
authors: nan
title: Report
date: 2020-03-16
journal: nan
DOI: 10.1007/s11623-020-1266-4
sha: ba243c51872d977bf0804e216d6b4057eab7b730
doc_id: 39862
cord_uid: 70h02wie

nan

Der am 13. Februar 2020 vorgelegte Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zum Berichtsjahr 2019 gibt sowohl Anlass zurückzublicken als auch eine Standortbestimmung vorzunehmen, um die künftigen Ziele ins Auge fassen zu können. Im Mai werden es zwei Jahre, in denen die Datenschutzgrundverordnung (DSGVO) gültig ist. Durchsetzung und Umsetzung der neuen Regelungen des Datenschutzrechts nehmen in Hamburg und auch in Deutschland insgesamt an Fahrt auf. Gleichzeitig zeigen sich aber auch zum einen negative Auswirkungen der limitierten Behördenressourcen und zum anderen dramatische Unterschiede im europäischen Vollzug.

Moderner Datenschutz ist multifunktional. Die Öffentlichkeit ist für die Risiken und Rechte im Zusammenhang mit der Verarbeitung von Daten zu sensibilisieren. In Staat und Gesellschaft muss das Bewusstsein geschärft werden, dass angesichts einer immer stärkeren Vernetzung und einer immer größeren Abhängigkeit der Wirtschaft und der Verwaltung von der Verarbeitung von Daten die Rechte der Bürgerinnen und Bürger effektiv zu schützen sind. Gleichzeitig gilt es, insbesondere bei jungen Menschen die Kompetenz für den Schutz der eigenen und den Respekt vor den Daten anderer zu fördern. Hier hat der HmbBfDI eine Initiative zum Datenschutz in der Medienbildung aufgenommen, die aktuell mit einem Projekt der Förderung des Themas an Schulen startet.

Mit Hilfe der aufsichtsbehördlichen Instrumente wiederum muss sichergestellt werden, dass die Rechte Betroffener seitens der Daten verarbeitenden Stellen gewahrt werden. Seit Inkrafttreten der DSGVO ist ein dramatischer Anstieg von Beschwerden durch Bürgerinnen und Bürger zu verzeichnen. Allein im letzten Jahr wuchs das Beschwerdeaufkommen beim HmbBfDI um 25%, nachdem im Jahr des Inkrafttretens der DSGVO bereits eine Verdoppelung der Eingabenzahlen erfolgte. Die personelle Aufstockung der Behörde um lediglich zwei Stellen im aktuellen Haushalt bleibt angesichts dieser Entwicklung deutlich hinter den Erforderlichkeiten zurück.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: "Das neue Bewusstsein von Bürgerinnen und Bürgern über ihre Datenschutzrechte kann nicht hoch genug veranschlagt werden. Beschwerden geben uns auch wichtige Hinweise auf mögliche strukturelle Datenschutzprobleme. Wenn es jedoch nicht gelingt, mit den derzeitigen Ressourcen die Anfragen in zeitlich halbwegs akzeptablen Zeiträumen zu beantworten, bleibt bei den Betroffenen ein negativer Eindruck beim Thema Datenschutz zurück. Mit zusätzlichem, befristetem Personal ist es zuletzt immerhin gelungen, Eingänge und Ausgänge in etwa in der Waage zu halten. Diese Kräfte müssen verstetigt werden. Zudem machen der stetige Zuwachs von Fällen und die erheblichen Rückstände eine weitere Verstärkung erforderlich."

Datenschutz der zwei Geschwindigkeiten? Die umfangreichen Sanktionsbefugnisse zur Ahndung von Datenschutzverstößen sind entscheidend für die Durchsetzung von Rechten und Freiheiten Betroffener in einem sich immer schneller drehenden Karussell der Datenkapitalisierung. Leider werden die europaweit harmonisierten Sanktionsinstrumente sehr uneinheitlich umgesetzt. Die Datenschutzkonferenz beschließt die gemeinsamen Forderungen der Datenschutzbeauftragten an Politik und Unternehmen. Sie stützt sich dabei auf ihre Facharbeitskreise wie "Justiz", "Wissenschaft und Forschung" oder "Beschäftigtendatenschutz".

Schurig wird sein Vorsitzjahr unter das Generalmotto "Informationelle Selbstbestimmung" stellen. "Selbstbestimmung ist immer noch der wichtigste Wert des Datenschutzes. Wir müssen angesichts der Internetgiganten mehr denn je dafür sorgen, dass der Einzelne in freier Selbstbestimmung über die Verwendung seiner Daten entscheiden kann.", so Schurig. Weitere Infos unter https://www.datenschutzkonferenz-online.de/

Neben Einrichtungen anderer Sektoren waren Krankenhäuser und andere medizinische Einrichtungen zuletzt wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible Patientendaten im Mittelpunkt. Am 23. Oktober 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung eines branchenspezifischen Sicherheitsstandards (B3S) festgestellt, mit dem Krankenhäuser ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik ausrichten können. Vorgelegt wurde der B3S von der Deutschen Krankenhausgesellschaft (DKG).

"Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für ihre IT-Netzwerke. Der Schutz sensibler Patientendaten muss ebenso zuverlässig gewährleistet sein wie die Versorgung von Patientinnen und Patienten mit Unterstützung modernster Computertechnologie. Vor diesem Hintergrund bietet der branchenspezifische Sicherheitsstandard wichtige Rahmenbedingungen, unter denen die Cyber-Sicherheit im Gesundheitswesen weiter erhöht werden kann. IT-Sicherheitsvorfälle wie der erfolgreiche Ransomware-Angriff auf eine Krankenhaus-Trägergesellschaft in Rheinland-Pfalz müssen der Vergangenheit angehören!", so BSI-Präsident Arne Schönbohm.

Etwas weniger als zehn Prozent der Krankenhäuser in Deutschland sind beim BSI als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert. Der nun anerkannte B3S steht auch den vielen kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen. Alle Klinik-Betreiber sind eingeladen, sich in den Netzwerken des BSI wie UP KRITIS und Allianz für Cyber-Sicherheit zu engagieren, um ihr IT-Sicherheitsniveau auf dem bestmöglichen Stand zu halten.

Am 18. Februar 2020 erfolgte dazu die Vertragsunterzeichnung zwischen gematik und D-TRUST Welche Medikamente nimmt ein Patient, welche Vorerkrankungen hat er, wie verliefen frühere Behandlungen? Ab 2021 sollen alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) erhalten, die genau diese Informationen bündelt. Der Zugriff des Versicherten auf die ePA erfolgt mittels der elektronischen Gesundheitskarte (eGK). Doch was passiert bei einem Verlust oder Wechsel der eGK? In diesem Fall muss der Zugriff auf die Akte und die eindeutige Zuordnung von Akte und Versicherten technisch sichergestellt werden -einen Teil dieser Aufgabe übernimmt D-TRUST.

D-TRUST, ein Unternehmen der Bundesdruckerei, wurde von der gematik GmbH beauftragt, den sogenannten Schlüsselgenerierungsdienst 2 (SGD2) für die ePA als Dienst der Telematikinfrastruktur (TI) für die elektronische Gesundheitskarte aufzubauen und zu betreiben. "Als qualifizierter Vertrauensdiensteanbieter in Deutschland sind wir stolz, mit dem Schlüsselgenerierungsdienst einen wesentlichen Beitrag zur Sicherheit und Bereitstellung einer zugelassenen elektronischen Patientenakte zu leisten", sagt Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH. Die Einführung der ePA ermöglicht dem Versicherten die Verwaltung seiner persönlichen Gesundheitsdaten, die ihm vom Arzt, seiner Krankenkasse oder seinen Gesundheits-Apps bereitgestellt werden. Dieser Service wird seitens der Krankenkassen über 70 Millionen gesetzlich Versicherten und über 200.000 Leistungserbringern ab 2021 zur Verfügung gestellt.

Hintergrund: Jede ePA wird mit zwei Schlüsseln verschlüsselt. Der erste Schlüssel wird stets bereitgestellt von dem jeweiligen Schlüsselgenerierungsdienst 1 des Herausgebers der entsprechenden elektronischen Gesundheitskarte, also den gesetzlichen Krankenkassen. Der zweite Schlüssel wird alleinig erstellt vom zentralen SGD2 der gematik -von D-TRUST. Während der SGD1 für eine begrenzte Anzahl von Nutzern des jeweiligen Kartenherausgebers zur Verfügung gestellt wird, muss der SGD2 als zentraler Dienst in der TI allen gesetzlich Versicherten für die Bildung des zweiten Schlüsselpaares zur Verfügung stehen.

"Der SGD2 ist für die Sicherheit der ePA zentral notwendig, um einen nutzerkontrollierten Zugriff auf die Akte zu ermöglichen und nimmt damit funktional und organisatorisch eine wichtige Stellung in der TI ein", so Nguyen. Aus diesem Grund und wegen der hohen Zahl von Nutzern bestehen für den SGD2 entsprechend der Spezifikationen der gematik höchste Anforderungen an Verfügbarkeit und Performance.

Bundesdruckerei und D-TRUST sind zudem mit weiteren Diensten und Produkten im E-Health-Bereich tätig, auch im Auftrag der gematik. D-TRUST produziert unter anderem die beiden relevanten Karten für die TI: den elektronischen Heilberufsausweis (eH-BA) und den elektronischen Praxisausweis-bzw. Institutionsausweis (SMC-B).

Weitere Informationen zu den E-Health Lösungen der Bundesdruckerei und D-TRUST finden Sie hier: https://www.bundesdruckerei.de/de/Loesungen/E-Health

Die Firewall genugate 9.0 des Herstellers genua GmbH hat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am 12. Februar 2020 die Zulassung für den Einsatz bis zum Geheimhaltungsgrad "VS -Nur für den Dienstgebrauch" (VS-NfD) erhalten. Die genugate ist eine zweistufige Firewall mit Application Level Gateway und Paketfilter, mit der Anwender hochkritische Netz-werk-Übergänge im VS-Bereich absichern können. Die VS-NfD-Zulassung erfolgte in einem Pilotprojekt des BSI zu einem neuen Verfahren, das bereits nach Common Criteria (CC) zertifizierte IT-Sicherheitsprodukte innerhalb weniger Wochen durchlaufen können. genua war an der Einführung des neuen "Integrationsverfahrens" als vom BSI qualifizierter Hersteller für VS-Produkte beteiligt. Die Firewall genugate komplettiert das Lösungsangebot von genua zur sicheren VS-NfD-Kommunikation: Als einziger Hersteller bietet genua zugelassene Firewalls und kann darüber hinaus mit zugelassenen VPN-Appliances, Laptops und Devices für mobile Mitarbeiter alle gängigen Kundenanforderungen erfüllen. Damit ist genua der führende Lösungsanbieter für VS-NfD-Kommunikation in Deutschland.

Aufgrund der neuen Verschlusssachenanweisung (VSA), der zunehmenden Digitalisierung und kurzen Innovationszyklen fragen Behörden und Unternehmen immer mehr VS-NfD-zugelassene IT-Sicherheitslösungen nach. Denn die VSA verlangt jetzt von allen an der VS-NfD-Datenverarbeitung beteiligten Systemen, die Sicherheitsfunktionen zum Schutz von Verschlusssachen implementieren, eine BSI-Zulassung -auch von Firewalls.

Auf die verstärkte Nachfrage hat das BSI mit der Entwicklung optimierter Zulassungsverfahren reagiert. Als Hersteller mit langjähriger Erfahrung bei Produktzulassungen hat genua als vertrauensvoller Partner an dem Pilotprojekt zum neuen Integrationsverfahren mitgewirkt. Hier können Evaluationen aus einer Produktzertifizierung nach Common Criteria (CC) beim BSI nach einer Prüfung auch für die Zulassung verwendet werden. Das spart Aufwand und Zeit, sichert gleichzeitig das hohe Qualitätsniveau des Verfahrens. Die High Resistance Firewall genugate 9.0 ist nach CC vom BSI zertifiziert. "Mit dem neuen Verfahren können VS-NfD-Zulassungen innerhalb weniger Wochen durchgeführt werden, ohne Abstriche bei der Prüftiefe und somit beim Qualitätsniveau. So erreicht das BSI das Ziel, für den VS-Bereich schnell zugelassene State-of-the-Art-Sicherheitslösungen bereitzustellen", sagt Matthias Ochs, Geschäftsführer von genua. 

Wir tendieren dazu, bei Cyber-Sicherheit zunächst immer in technischen Dimensionen zu denken. Es geht um neue Ransomware-Attacken mit noch gefährlicheren Algorithmen, Viren, Würmern und Phishing. Das sind aber letztlich nur die Speerspitzen des Angriffs. Cyber-Kriminalität ist heute ein Massenphänomen, das sich auf breite Teile der Gesellschaft auswirkt. Betrachtet man nur die technische Seite, kann man die Bedrohung nicht voll erfassen und dagegen vorgehen. Stattdessen müssen auch übergeordnete Entwicklungen berücksichtigt werden. Jochen Adler, verantwortlich für Partnergeschäft bei OpenText in Deutschland, Österreich und der Schweiz, zeigt drei solcher Faktoren auf:

Bewusst gestreut oder zufällig "viral gegangen"; falsche Informationen und Fake News verbreiten sich heute rasend schnell. Aktuell kann man das beispielsweise bezüglich des Corona-Virus beobachten. Dazu sind inzwischen so viele Informationen (und so viele davon falsch) im Umlauf, dass selbst die WHO von einer "Infoepidemie" ("infodemic") spricht. Welche Ziele die Urheber der Fake News zum Corona-Virus verfolgen, lässt sich kaum ausmachen, zu komplex ist die Situation und verschiedenste Akteure verfolgen mutmaßlich unterschiedlichste Ziele. Andere Beispiele zeigen aber, dass Falschinformationen ganz bewusst und mit einem ausgearbeiteten Plan eingesetzt werden, um beispielsweise Unsicherheit und Zweifel zu verbreiten und sogar politische Prozesse zu beeinflussen -so geschehen im US-Wahlkampf 2016. Auch wenn der Nachweis schwerfällt, dürfte es auch hierzulande solche Fehlinformationskampagnen bereits geben. Allgemein ist das heute ein Phänomen, mit dem man bei allen Entwicklungen von politischer oder gesellschaftlicher Tragweite rechnen muss. Gefährlich wird das immer dann, wenn Mitarbeiter Fake News glauben, eine Sicherheits-oder Bedrohungslage falsch einschätzen, und sich dadurch zu riskantem oder schädlichem Verhalten hinreißen lassen.

Menschen teilen heute immer mehr über sich im Netz mit. Unsere Daten sind überall, das beginnt bei Fotos und Standortangaben in sozialen Medien und endet bei digitalen Krankenakten. Es gibt Dienste, die die eigene DNA analysieren, um Menschen etwas über ihre Abstammung zu verraten. Aktuell ist auch Gesichtserkennung ein großes Thema in den Medien, bei der letztlich ebenfals biometrische Daten anfallen, beispielsweise die Gesichtsgeometrie betreffend. Alle diese Daten müssen irgendwo gespeichert werden, was natürlich bedeutet, dass sie auch kopiert und damit letztlich "gestohlen" werden können. Dies zu verhindern ist eine große Herausforderung; andererseits muss man auch mit dem Schlimmsten rechnen. Unternehmen müssen dafür sorgen, dass sie nicht durch persönliche Daten ihrer Mitarbeiter verwundbar werden, die diese im Netz preisgegeben haben, oder die Hacker bei schlecht gesicherten Firmen, beispielsweise Zulieferern, gestohlen haben. Wenn zum Beispiel Phishing-Attacken per E-Mail immer ausgefeilter werden, so dient das häufig nicht zuletzt dem sogenannten "social engineering": zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen.

Bedrohungen für Unternehmen und Organisationen müssen deshalb auch nicht immer von außen kommen. Auch eigene Mitarbeiter können zur Gefahr werden, wenn sie vertrauliche Informationen an Dritte weitergeben. Und das nicht nur, weil sie von Kriminellen leichtgläubig und wider besseren Wissens dazu verleitet werden, sondern auch, wenn sie bewusst und aus eigenem Antrieb handeln. Mitarbeiter können zu einem großen Risiko für Unternehmen und Organisationen werden, beispielsweise im Streit und nach einer Kündigung, wenn es ihnen gelingt, sensible Daten nach draußen zu schleusen. Das ist in den meisten Fällen ein Leichtes für die eigenen Mitarbeiter, die Datenzugriff haben und diese beispielsweise auf Cloud-Speicher kopieren können. Ein besonders drastisches Beispiel ereignete sich im letzten Jahr in Frankreich. Der Polizist, der später einen Anschlag auf die Polizeipräfektur in Paris verübte, hatte im Vorfeld in großem Umfang Daten aus seiner Dienststelle herausgeschmuggelt. Ob und an wen er diese sensiblen Informationen weitergegeben hat, blieb unklar. Es muss ja nicht gleich zu einem terroristischen Anschlage kommen: auch Wettbewerbsverletzungen und Sabotage mit digitalen Mitteln sind inzwischen leider Realität geworden, und Behörden sowie Unternehmen dürfen davor nicht die Augen verschließen. Wer seine Mitarbeitenden jedoch unter Generalverdacht stellt, riskiert den totalen Vertrauensverlust auf beiden Seiten. Hier wird viel Fingerspitzengefühl verlangt -eine Fertigkeit, die viele IT-Spezialisten erst erlernen müssen.

Die größten Bedrohungen für die Cyber-Sicherheit sind aktuell keine spezifischen Viren oder einzelne Malware-Attacken. Diese sind eher Mittel zum Zweck für die Akteure dahinter. Um die Sicherheit von Infrastrukturen, Behörden und Unternehmen zu erhöhen, muss man immer auch die abstraktere Ebene und den "Faktor Mensch" hinter jeder konkreten Bedrohung bedenken.

OpenText, The Information Company, vereinfacht, transformiert und beschleunigt die Informationsgewinnung in Unternehmen, auf der Basis von marktführenden On-Premise und Cloud-Technologien. Weitere Informationen über OpenText (NASDAQ: OTEX, TSX: OTEX) sind unter www.opentext.de zu finden. "Die ISO 27001-Zertifizierung ist ein bedeutender Erfolg für Kaspersky", kommentiert Andrey Evdokimov, Chief Information Security Officer bei Kaspersky. "Sie zeigt unseren Kunden und Partnern, dass wir die Kontrolle unseres Sicherheitsmanagements als überaus hohe Priorität betrachten und erkennt unsere Herangehensweise an das Thema Informationssicherheit als nachprüfbar an. Das strenge Audit, das für die Zertifizierung durchgeführt wurde, bestätigt, dass wir uns zu höchster Datensicherheit verpflichtet haben, und stellt einen weiteren Schritt in unserem Engagement dar, die Transparenz unseres Unternehmens zu unterstreichen."

Die Zertifizierung ist im TÜV AUSTRIA-Zertifikatsverzeichnis und auf der Kaspersky-Website [2] öffentlich einsehbar. Das ISO-27001-Audit ist ein weiterer Schritt im Rahmen der im Jahr 2017 angekündigten Globalen Transparenzinitiative, die Partnern und Kunden umfassende Sicherheit darüber geben soll, dass die Produkte und Dienstleistungen des Unternehmens nicht nur den besten Schutz vor Cyber-Bedrohungen bieten, sondern auch die Kundendaten mit maximaler Sorgfalt behandelt werden. Im Jahr 2019 absolvierte das Unternehmen erfolgreich das SOC 2 Typ 1-Audit, das durch eines der vier großen globalen Wirtschaftsprüfungsgesellschaften durchgeführt wurde. Damit wurde bestätigt, dass Entwicklung und Ausspielung der AV-Datenbanken von Kaspersky durch starke Sicherheitskontrollen vor unbefugten Änderungen geschützt sind.

Weitere Informationen über die neuesten Entwicklungen innerhalb der Globalen Transparenzinitiative von Kaspersky unter https://www.kaspersky.de/about/transparency

Maschinelle Lernverfahren und Systeme der Künstlichen Intelligenz (KI) werden bereits heute in zahlreichen IT-Infrastrukturen und vernetzten Endgeräten als zentraler Baustein zur Analyse, Prognose und Steuerung eingesetzt, gleichzeitig wird in Deutschland zunehmend die Forderung nach mehr Sicherheit beim Einsatz Künstlicher Intelligenz (KI) laut. Das zeigt eine nun veröffentlichte repräsentative Umfrage des TÜV-Verbands. Dieser zufolge wünschen sich 78% der Bevölkerung Gesetze und Vorschriften zur Regulierung von KI. 85% sind gar der Meinung, dass KI-Produkte erst auf den Markt gebracht werden sollten, wenn ihre Sicherheit von unabhängigen Stellen überprüft wurde. Das zu ermöglichen, hat sich die TÜV Informationstechnik GmbH (TÜViT) schon vor Monaten auf die Fahnen geschrieben und entwickelt sich seitdem zielstrebig zum Algorithmen-TÜV. Vor diesem Hintergrund erarbeitet TÜViT gemeinsam mit Fraunhofer AISEC aktuell Verfahren, die die Vertrauenswürdigkeit von KI-Anwendungen mess-und überprüfbar machen sollen, da diese für Unternehmen aller Branchen, aber auch für staatliche Institutionen von höchster Wichtigkeit ist.

"Da KI für Firmen viel Potential mit sich bringt und zunehmend auch in sicherheitskritischen Bereichen eingesetzt wird, möchten wir Unternehmen bei der Entwicklung von KI-Lösungen unterstützen. Daher befindet sich TÜViT gemeinsam mit dem Fraunhofer AISEC aktuell in einem Forschungsprojekt zur Prüfung Künstlicher Intelligenz", so Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH. "Ziel ist es, ein umfangreiches Framework zu entwickeln, welches die Robustheit von KI-Anwendungen gegen mögliche Angriffe mittels speziell entwickelter Tests messbar macht."

Mithilfe des innovativen Prüfverfahrens, das in Zukunft eine valide Risikobewertung ermöglicht, werden KI-Lösungen transparenter, vergleichbarer und somit zertifizierbar. Im Fokus steht dabei der Aspekt der IT-Sicherheit und damit die Frage, wie sich die Robustheit eines KI-Algorithmus gegenüber Hackerangriffen ermitteln lässt. Auch wenn KI heute bereits in einigen Bereichen teilweise besser ist als der Mensch, können schon kleinste Manipulationen verheerende Auswirkungen haben. "Daten können so verändert werden, dass der Algorithmus ein Stoppschild plötzlich als Vorfahrtsschild erkennt", erklärt Vasilios Danos, Berater für IT-Security bei der TÜV Informationstechnik GmbH. "Für das menschliche Auge wäre diese Manipulation kaum wahrnehmbar." Im gemeinsamen Projekt mit dem Fraunhofer AISEC entstehen Prüfverfahren, die eine quantitative Bewertung der Robustheit und Stabilität des KI-Algorithmus und dessen Einbettung in das Gesamtsystem erlauben. Mit Hilfe der in der Abteilung Cognitive Security Technologies entwickelten Verfahren lässt sich eine quantitative Risikobewertung der KI-Kernkomponenten unter Berücksichtigung der Einsatzumgebung durchführen. Ob eine KI-Anwendung verlässlich ist, wird zukünftig transparent durch eine KI-Zertifizierung sichtbar sein.

"Allein den KI-Entwicklern zu vertrauen oder gar Herstellereigenerklärungen zuzulassen, halten wir für keine belastbare Basis. Aus unserer Sicht ist es erforderlich, KI-Prüfungen in einem zertifizierten und unabhängigen Labor durchzuführen. Denn hier sind kompetentes Expertenwissen und eine entsprechende Ausstattung gefragt. Das Fraunhofer AISEC forscht bereits seit Jahren an Verfahren, um KI-Anwendungen robuster zu machen und gegen Manipulationen abzusichern und ist damit ein idealer Projektpartner", fügt Dirk Kretzschmar hinzu.

Sobald das Grundgerüst des Frameworks fertiggestellt ist, können Pilotprojekte mit Herstellern und Entwicklern von KI-Lösungen durchgeführt werden. Erste Prüfungen und Zertifizierungen sind für Mitte 2020 geplant. Den größten Anteil mit 38% hatten dabei Unternehmen mit 50-249 Mitarbeiter, gefolgt von Unternehmen mit 250-499 (24%) und unter 50 Mitarbeitern (23%). Großunternehmen mit einer Belegschaft von 500-999 Personen machten 15% aus.

Knapp die Hälfte der Befragten waren IT-Leiter und CIOs sowie IT-Mitarbeiter, -Administratoren und -Spezialisten. Die zweite Hälfte setzte sich zusammen aus weiteren C-Level-Positionen -CISOs eingeschlossen -Compliance-Spezialisten und Sicherheits-und Datenschutzbeauftragten.

Der IT-Leiter ist in fast allen Unternehmen haupt-oder mitverantwortlich für die IT-Sicherheit (83%). In 64% der Fälle ist es der IT-Security-Leiter. 27% der Unternehmen besetzen diese Position nicht einmal. Ähnlich schwach vertreten sind Compliance-und Governance-Verantwortliche. Die Position ist bei mehr als zwei Drittel der Unternehmen nicht vorhanden. Falls doch, haben sie im Vergleich den geringsten Einfluss (40%) auf Prozesse der IT-Sicherheit.

Die Studienergebnisse zum Thema Stellenwert sind leider wenig überraschend: Je kleiner die Unternehmen, umso seltener ist IT-Sicherheit Teil der Unternehmensstrategie. 50% bzw. 42% der Unternehmen mit weniger als 50 bzw. 50-249 Mitarbeitern setzen Security-Maßnahmen proaktiv nur punktuell um, z.B. im Rahmen von Gesetzesvorgaben oder erst nach einem Sicherheitsvorfall. Selbst bei Großunternehmen mit über 500 Mitarbeitern liegt dieser Wert noch bei 32%. Die verbleibenden 68% Prozent der Unternehmen in dieser Größenordnung sehen IT-Sicherheit als einen zentralen Bestandteil ihrer Unternehmensstrategie. Ein Grund für den hohen Anteil an punktuellen Maßnahmen ist sicherlich, dass beim Großteil der Unternehmen der IT-Leiter neben seinen zahlreichen anderen Pflichten auch für Security zuständig ist. Da ist es wenig erstaunlich, dass Cybersicherheit nur dann Beachtung findet, wenn unbedingt erforderlich wie bei der DSGVO.

In Sachen Umsetzung setzen die Unternehmen größtenteils immer noch auf die Klassiker: Lösungen wie Firewall (67%), Spamfilter (63%) und Antivirus (62%) führen die Liste an. Auch das zeigt, dass Security häufig nebenbei gehandhabt wird. Viele Unternehmen setzen einfach auf diese drei Basics bei der Umsetzung ihrer IT-Sicherheit. Dahinter folgen Schulungen (57%) und Sensibilisierungskampagnen (50%) für die eigenen Mitarbeiter -noch vor Verschlüsselungstechnologien (ca. 49%).

Das Management durch externe Dienstleister ist besonders bei der kleinsten Unternehmensgröße mit 50% (Gesamt 35%) eine der wichtigsten Eigenschaften bei der Wahl von Security-Leistungen. Generell sind externe Security Provider für Unternehmen, die sich nicht selbst um ihre Sicherheitsstrategie kümmern können bzw. wollen, am sinnvollsten. Das ist besonders dann der Fall, wenn es Unternehmen an Ressourcen mangelt wie Security-Fachkräfte oder -Know-how.

Die vollständige Studie mit weiteren spannenden Erkenntnissen finden Sie hier: https://www.drivelock.de/

| Institut für Wirtschafts-und Verwaltungsinformatik der Universität Koblenz-Landau M. Hansen | Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein | Kiel Prof. Dr. P. Horster | Institut für Systemsicherheit an der Universität Klagenfurt Th. Königshofen | Sicherheitsbevollmächtigter | Group Business Security | Deutsche Telekom AG | Bonn LL.M G. Krader | Konzern-Datenschutzbeauftragte Deutsche Post World Net | Bonn I. Münch | Bundesamt für Sicherheit in der Informationstechnik | Bonn Prof. Dr. T. Petri | Bayerischer Landesbeauftragter für den Datenschutz | München Prof. Dr. A. Roßnagel | Projektgruppe verfassungsverträgliche Technikgestaltung provet) | Universität Kassel P. Schaar | Vorsitzender