Noch sei unklar, welche Konsequenzen politische und andere Gremien aus der Affäre ziehen werden, schreibt der Verband der IT-Anwender in einer Erklärung. Klar sei jedoch, „dass das Bewusstsein und die Verantwortung im Umgang mit schutzwürdigen Daten jeden betreffen und ins Zentrum der Debatte rücken müssen."
Unternehmen und deren Verantwortliche dürften die Bedeutung der sich daraus ergebenden strategischen Fragen nicht unterschätzen, so der Verband weiter.
Die Diskussion rund um die Sicherheit elektronisch gespeicherter Unternehmens- und persönlicher Daten sowie der Umgang mit elektronischen Medien habe derzeit eine neue Dimension erreicht. „Daten sind das Öl des 21. Jahrhunderts. Insbesondere der Schutz von Daten über das geistige Eigentum deutscher Unternehmen ist aus Wettbewerbssicht von zentraler Bedeutung."
Mit Programmen wie PRISM sei deshalb auch eine enorme wirtschaftliche Bedeutung verbunden. Schon aus diesem Grund müsse in dieser Affäre von Seiten der Politik und beteiligter Plattformanbieter eine nachhaltige Aufklärung vorangetrieben werden, in welchem Maße deutsche Anwenderunternehmen betroffen waren und sind, fordert der Verband.
"Vertrauen in den Umgang mit Vertraulichkeit ist massiv erschüttert"
„Das grundsätzliche Vertrauen in den Umgang mit Vertraulichkeit ist massiv erschüttert worden", sagte Thomas Endres, Vorsitzender des VOICE-Präsidiums, zum Beziehungsgeflecht zwischen IT-Anwendern und Plattformanbietern. Gerade vor dem Hintergrund der Nutzung von Cloud-Technologien, der Bedeutung von Big Data Analysis, weltweit vernetzter Kommunikation oder der zunehmenden Auslagerung von IT-Leistungen stelle sich nun die Frage nach zukünftigen Strategien für IT-Anwender.
Endres: „Die bisherige Position der Lösungsanbieter – bei uns sind Eure Daten sicher – wird zunehmend kritisch betrachtet. Es ist dringend notwendig, ernsthafte Antworten auf Fragen nach einer herzustellenden Compliance oder den Umgang mit Recht und Regeln zu bekommen. Damit geht auch die Übernahme von wirklicher Haftung im Prozess und der Herstellung der dazu notwendigen Transparenz einher. In jedem Fall wird die Sorgfalt bei der Auswahl von Servicepartnern und deren Verantwortung für Datensicherheit im gesamten Prozess der Zusammenarbeit eine wesentlich bedeutendere Rolle spielen."
Bereits heute über rechtliche oder technologische Konsequenzen nachzudenken ist aus Sicht der IT-Anwender richtig, auch wenn Hebel, Ausmaß oder genaue Methoden derzeit nicht ausreichend bekannt sind. Es sei dabei zu bedenken, dass die Verschärfung von Rahmenbedingungen und Sicherheitsmechanismen die Datenverarbeitung und digitale Kommunikation aufwändiger macht und auf die Effizienz und damit Wettbewerbsfähigkeit von Unternehmen drückt. „Die Initiative der Bundesregierung zur Harmonisierung des Datenschutzrechtes in Europa begrüßen wir in diesem Zusammenhang ausdrücklich."
Vor allem aber müssten die grundsätzliche Bedeutung von IT-Sicherheit und die Verantwortung der IT-Industrie ins Zentrum der Debatte gerückt werden. Dazu zählen die Schärfung des Bewusstseins über die Schutzwürdigkeit von Daten sowie der Umgang mit vertraulichen Informationen.
VOICE e.V. entstand aus dem Zusammenschluss der Organisationen CIO Colloquium und CIO-Circle. Thomas Endres ist auch Mitglied im Beirat der Cyber Allianz. Am 14. Mai 2013 fand die konstituierende Sitzung des Beirats der Allianz für Cyber-Sicherheit statt. Dem Beirat gehören neben BSI, BMI und BITKOM auch die Industrieverbände BDI und ZVEI sowie der IT-Anwenderverband VOICE an. Aufgabe des Beirats ist es, „die geleistete Arbeit der Allianz für Cyber-Sicherheit kritisch zu reflektieren und Impulse für die zukünftigen Themen und Schwerpunkte zu geben."
Derzeit führt der Verband eine Analyse in den Mitgliedsunternehmen durch, welche Wirkung PRISM bei den IT-Anwendern hat. Die Ergebnisse sollen im Rahmen der Beiratstätigkeit des Verbands in die Cyber-Allianz eingebracht werden sowie in die Arbeit der internen Special Interest Groups ‚Risk and Compliance’ und ‚Cloud Contracts’. Mitte Oktober will der Verband im Rahmen eines ‚VOICE Security Day’ in München über die Erkenntnisse und Ergebnisse auf CIO-Level berichten.
Deutsche Telekom lädt zum Cyber Security Summit im November
Auch die Deutsche Telekom will sich mit dem Thema Security nach PRISM beschäftigen. Der zweite Cyber Security Summit tagt am 11. November 2013 in Bonn und setzt die im Herbst 2012 begonnenen Gipfelgespräche von Managern und Spitzenpolitikern fort. In der Einladung verweist die Deutsche Telekom explizit auf die „breite Diskussion um das Vertrauen in die digitale Gesellschaft – erschüttert durch den aktuellen Konflikt um geheimdienstliche Abhörprogramme". Bislang hätten Cyber-Attacken mit meist kriminellem Hintergrund vor allem die wirtschaftliche Leistungsfähigkeit einzelner Unternehmen und die des Standortes Deutschland beeinträchtigt.
„Auf nationaler und internationaler Ebene müssen Staat, Wirtschaft und Nutzer für die Sicherheit des Internets Verantwortung übernehmen und eine sichere Cyberumwelt geprägt von gegenseitiger Vertrauensbildung schaffen", sagte der Vorsitzende der Münchner Sicherheitskonferenz, Wolfgang Ischinger.
„Jahr für Jahr hat sich die Bedrohung aus dem Cyber-Raum verschärft. In den letzten zwölf Monaten ist die Zahl der Angriffe noch einmal um 100 Prozent gestiegen. Jetzt zeigt sich noch ein ganz neues Ausmaß und führt uns zu einer Debatte um Sicherheit und Freiheit im Internet", sagte René Obermann, Vorstandsvorsitzender der Deutschen Telekom. In diesem Jahr konzentriert sich der Cyber Security Summit auf die Themenfelder Spionage und Sabotage, den Ordnungsrahmen auf nationaler und internationaler Ebene sowie auf konkrete Sicherheitslösungen.
Die Münchner Sicherheitskonferenz und die Deutsche Telekom hatten das zusätzliche Format der Sicherheitskonferenz im vergangenen Jahr erstmals ausgerichtet. Über 70 Manager deutscher Konzerne und Spitzenpolitiker waren damals der Einladung nach Bonn gefolgt.
BSI wehrt sich gegen Berichte über Zusammenarbeit mit der NSA
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wehrte sich unterdessen gegen Medienberichte, die über eine Zusammenarbeit der Bonner Behörde mit dem US-Nachrichtendienst National Security Agency (NSA) berichtet hatten. Dabei wurde spekuliert, dass das BSI die NSA aktiv mit Informationen versorgt, die es der NSA erleichtern, in Deutschland Ausspähungen vorzunehmen und vorhandene Sicherheitsschranken zu umgehen.
Hierbei wurde eine Zusammenarbeit zwischen BSI und ausländischen Diensten im Zusammenhang mit der Zertifizierung von IT-Produkten und –Dienstleistungen unterstellt. Zudem wurde die Frage aufgeworfen, ob das BSI die NSA dabei unterstützt habe, Kommunikationsvorgänge am Internetknoten De-CIX auszuspähen.
Hierzu erklärte das BSI ausdrücklich: „Eine Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste durch das Bundesamt für Sicherheit in der Informationstechnik im Zusammenhang mit den Ausspähprogrammen Prism und Tempora findet nicht statt. Das BSI hat weder die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX oder an anderen Stellen in Deutschland auszuspähen."
Das BSI würde überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weitergeben.
Im Kontext der Bündnispartnerschaft NATO arbeite das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasse jedoch „ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes."