Helmbrecht: "Das Internet vergisst nie"
5. August 2013
Deutsche Welle: Herr Helmbrecht, vielen Bürgern fehlt das Vertrauen in die europäische Netzsicherheit. Das hängt vor allem mit der NSA-Affäre der vergangenen Wochen zusammen. Was unternimmt die ENISA, um wieder Vertrauen bei den EU-Bürgern zu schaffen?
Udo Helmbrecht: Wir haben uns schon immer darum bemüht, das Internet sicherer zu machen, damit die Bürger Vertrauen in das Netz bekommen. Zwei Punkte: Erstens beschäftigen wir uns mit Geschäftsprozessen und Technologien wie Cloud-Computing, sozialen Netzwerken und Smart-Metering (intelligente Stromzähler). Die Nutzer weisen wir auf die Gefahren hin, damit sie sich frühzeitig absichern können. Zweitens haben wir die europaweite Initiative "Cyber-Security-Month" gegründet, wo wir mit Hilfe der Mitgliedsstaaten und der EU-Institutionen versuchen, die Bürger besser zu erreichen.
Die Mehrheit der EU-Bürger nutzt ausschließlich US-amerikanische Sicherheitsprogramme. Die Forderung nach eigenen Europäischen Internetsicherheitsprogrammen wird immer lauter. Wie kann man die Bürger dazu motivieren, solche in Zukunft zu nutzen?
Die Frage muss ich an die Bürger selbst zurückgeben! Ein Beispiel: Es gab in Deutschland mal StudiVZ und Facebook. Die Bürger haben sich allerdings dazu entschieden, lieber ein amerikanisches Produkt zu nutzen als ein deutsches. In diesem Fall ist den Menschen nicht zu helfen. Dann darf man sich auch nicht beschweren, wenn die ausländischen Unternehmen unsere Daten missbrauchen. Der Ruf nach besseren europäischen Produkten wäre sinnvoll.
Zu den Aufgaben der ENISA gehört die Beratung der EU-Institutionen zum Thema IT-Sicherheit. Wie gut ist die Kooperation mit den Institutionen? Und hören diese auf den Rat der ENISA?
Sie ist verbesserungsfähig. Wir haben sicherlich gute Anfänge gemacht. Es ist zu beachten, dass die ENISA erst 2005 gegründet worden ist und es Zeit braucht, bis man sich etablieren kann. In Deutschland wurde zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) 1991 gegründet, aber das Bundesgesetz zur Stärkung des Amtes wurde erst 2009 geändert. Die Zusammenarbeit mit den EU-Institutionen funktioniert im Bereich der digitalen Agenda gut, bei denen Experten für Netzsicherheit neue Abwehrmechanismen gegen Cyberangriffe erproben. Während der NSA-Diskussion nahm die Vizepräsidentin der EU-Kommission, Viviane Reding, Kontakt mit uns auf, als es um das Thema "smart grid" (intelligentes Stromnetz) ging. Wir stehen zwar am Anfang, sind aber auf einem guten Weg.
Wie wollen Sie die Stellung der ENISA in der EU in Zukunft stärken? Und in welchen Themen beraten Sie die EU zurzeit?
Wir sind bereits eingebunden im Cybercrime-Center von Europol. Es gibt zwei Wege: Der erste besteht darin, aktiv bei Initiativen wie Cybercrime mitzumachen. Und der zweite, den Abgeordneten im EU-Parlament zur Verfügung zu stehen. Je mehr man wahrgenommen wird, umso mehr bessert sich die Reputation. Aktuell beraten wir einige EU-Abgeordnete zur neuen Direktive der nationalen Informationssicherheit, die gerade im Parlament und im Ausschuss behandelt wird. Dort ist der deutsche Abgeordnete Andreas Schwab Berichterstatter.
Für 2014 ist eine Reform der Datenschutz-Grundverordnung der EU geplant. Dazu gehört die neue Gesetzesinitiative "Recht auf Vergessen". Das soll jedem Internetnutzer ermöglichen, seine eingegebenen Daten auch wieder löschen zu lassen. Für wie realistisch halten Sie die Durchsetzung?
Wir haben dazu ein Schreiben mit dem Namen "right to be forgotten" erstellt. Zunächst einmal ist das allumfassende Löschen im Internet technisch nicht machbar. Man kann es auf die "Allgemeinen Geschäftsbedingungen" der Unternehmen reduzieren. Wenn diese sich allerdings außerhalb Europas befinden, wird es sehr schwierig. Wenn man zum Beispiel seine Daten einem Onlineshop außerhalb der EU anvertraut, gibt es juristisch wenige Möglichkeiten, auf diesen einzuwirken. Insofern bleibt am Ende der Spruch: Das Internet vergisst nie!
Ist es überhaupt möglich, ein allumfassendes Datenschutzgesetz juristisch in Worte zu fassen?
Es gibt sicherlich Ansätze. Aber die Frage ist, wie man das, was juristisch gewollt ist, auch technisch umsetzen kann. Wo sind dann die technischen Grenzen? Wenn man zum Beispiel einen Cloud-Computing-Provider nimmt, der die Daten an Dritte weitergibt, dann ist es technisch schon schwierig, das nachzuverfolgen. Juristisch wird das Ganze dann fast schon aussichtslos.
Wie können sich europäische Unternehmen und Institutionen gegen Angriffe und die gezielte Wirtschaftsspionage schützen?
Verschlüsseln, verschlüsseln und noch einmal verschlüsseln. Auf der BSI-Internetseite für Bürger, wo auch die ENISA vertreten ist, gibt es viele Hinweise für Bürger und Mittelständler, wie man sich gegen solche Angriffe schützen kann. Das funktioniert zum Beispiel durch Firewalls oder Antiviren-Software. Beim Senden von vertraulichen Dokumenten rate ich, diese zu signieren, damit der Empfänger auch erkennen kann, dass es nicht verfälscht ist. Patente sollten in der Regel immer verschlüsselt verschickt werden.
Wie schützen Sie ihre privaten Daten an ihrem Computer und Smartphone?
Ich habe ein Dienst-Smartphone, mit dem ich allenfalls telefoniere und Mails verschicke, diese sind allerdings mit unseren Dienstservern verbunden, die man nur intern abrufen kann. Mein privater und dienstlicher Laptop ist verschlüsselt, so dass, wenn ich es verlieren würde, niemand an meine Daten käme. Als Programm nutze ich den Bitlocker von Microsoft. Jetzt könnte man natürlich sagen, dass Microsoft ja ein US-amerikanisches Unternehmen ist. Aber mit dem Programm kann man relativ sicher sein. Ansonsten bin ich privat kein Nutzer von Facebook. Bei Facebook ist immer die Frage, was ich wem mitteilen will. Dafür hat sich für mich persönlich kein Bedarf ergeben.
Udo Helmbrecht (58) ist seit 2009 Direktor bei der IT-Sicherheitsagentur "European Network and Information Security Agency" (deutsch: Europäische Agentur für Netz- und Informationssicherheit). Von März 2003 bis Oktober 2009 war er Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er setzt sich für eine europaweite Netz- und Informationssicherheit ein. Er möchte die ENISA zu einem anerkannten zentralen europäischen Beratungs- und Kompetenzzentrum für die Sicherheit von Netzinfrastrukturen ausbauen.