Innenministerium oder Wirtschaftsministerium? Ein Mysterium!
Dem Bundesdatenschutzbeauftragten Schaar ist kein Vorwurf zu machen. Er leistet nachweislich gute Arbeit. Seine Fachreferate greifen zwar auf einzelne Behörden der Bundesverwaltung zu, allerdings liegt die Dienstaufsicht beim Innenministerium.
Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) gehört zum Geschäftsbereich des BMI. Dort diskutierte man auf dem IT-Grundschutztag am 23.09.2013 über eine Cloud-Zertifizierung auf Basis des IT-Grundschutzkataloges. Bislang gibt es keine konkrete Aussage, bis wann das Werk vollendet sein wird. Nach nunmehr zwei Jahren kam man zu der Erkenntnis, dass eine Zertifizierung nach IT-Grundschutz in Kombination mit der ISO 27001 für kleinere und mittelständische Anbieter vielleicht ein Bisschen zu teuer sein könnte.
Aber auch das Bundeswirtschaftsministerium hat in seiner Pressemitteilung vom 05.11.2013 nun erklärt, man wolle bis zum Frühjahr 2015 eine Datenschutz-Zertifizierung für Cloudservices vorstellen. Dies soll durch das Aktionsprogramm "Trusted Cloud" erfolgen. Unsere Rückfrage bei Prof. Dr. Herbert Weber ergab, dass das geplante Zertifizierungsprogramm von einer juristischen Fakultät entwickelt werden soll und die rechtlichen Aspekte im Vordergrund stehen. Selbst wenn es tatsächlich bei diesem Termin bleibt: Die Würfel für die Unternehmen fallen früher. Die Trend-Zyklen werden schneller. Wer erst in 2015 beginnt, ist erstens heute schon abgehängt.Zweitens darf man auf die praktische Umsetzbarkeit gespannt sein.
Viele (Regierungs-) Köche verderben die Cloud
"Das Internet ist für uns alle Neuland" war möglicherweise ein ungewollter Ausrutscher. Doch stellt sich die Frage, warum wir in Deutschland das Thema Datensicherheit erst im Jahre 2013 entdecken?
Schön wäre es, wenn es bereits ein europaweit anerkanntes und vor allem unabhängiges Cloud-Zertifikat gäbe, mit dem Deutscher Datenschutz und Datensicherheit gewährleistet wären. Der Ruf danach wird immer lauter. Doch wenn BMWI und BMI parallel und unabhängig voneinander an einer Lösung arbeiten, kostet das ein Vermögen und wird nach aller Erfahrung im Ergebnis für kleine und Mittelständische Cloudanbieter nicht umsetzbar sein, weil die geplanten Zertifizierungen nicht ohne externe Berater umsetzbar sein werden. Zum Beispiel der verzweifelte Ansatz von Trusted Cloud: Niemand glaubt im Ernst, dass irgendein Geschäftsführer dieses Pamphlet ohne Rechtsberatung unterschreiben wird. Entsprechend hoch werden die Zertifizierungskosten sein. Eine BSI Grundschutzberatung ist bekanntermaßen ebenfalls eine teure Angelegenheit. Insofern gehen beide Ansätze an der Praxis vorbei.
Über allem steht das Kanzleramt
Wenn das BMI für urbane und gesellschaftliche Strukturen zuständig ist, steht der (Daten-)Schutz des Bürgers und der öffentlichen Einrichtungen im Fokus. Das BMWI steht für wirtschaftliche Rahmenbedingungen und sollte Unternehmen dabei helfen erfolgreich zu sein und sie schützen. Da aber Bürger und Unternehmen gleichermaßen von Datenspionage bedroht sind, weil auch die Bedrohungen mit denselben Systemen und Verfahren erfolgen. Und weil wir alle lernen müssen Datensicherheit genauso selbstverständlich beherrschen zu können wie Emailschreiben, ist die Bildung einer verantwortlichen Stelle für Datenschutz und Datensicherheit dringend nötig.
Datensicherheit ist Chefsache
Wir kennen dieses Chaos von der Energiewende: Wenn sich Umweltministerium und Wirtschaftsministerium in Machtkämpfen aufreiben, muss der Steuerzahler die Zeche für en verspäteten Ausbau der Netzinfrastruktur blechen. Wie groß werden die Schäden des Datenklaus sein? Wer ist verantwortlich?
Klein, flink und gut: Freie Datenschutz-Initiativen
Der Ruf nach einer (vom wem auch immer) akkreditierten Datenschutz-Zertifizierung für Cloudlösungen wird immer lauter. Und unabhängig soll sie sein. Und nicht so teuer. Tatsächlich gibt es Lösungen: In einem kleinen Bundesland im Westen der Republik haben sich ein paar tapfere Cloudkämpfer gegen Datenklau und Überregulierung zusammengeschlossen und die Initiative GERMAN CLOUD gegründet. Gemeinsam mit der Landesregierung Rheinland Pfalz, der Universität Koblenz, dem Landesdatenschutzbeauftragten, dem Berufsverband der Datenschützer und freien Cloudberatern wurde ein Audit-Handbuch zur Datenschutz-Zertifizierung für Cloudanbieter ins Leben gerufen. Unabhängig, ohne mächtigen Anbieterverband mit Eigeninteressen und ohne teure Berater. Aber wasserdicht, unabhängig und vor allem bezahlbar.