Als Privatunternehmen mit Hacking einen Cyberangriff zu beantworten, kann verstörende Folgen haben. Das war eines der aktuellen Themen im Telekom-Datenschutzbeirat. Außerdem: der 'Datenschutz in Europa', den die Twitter-Gemeinde auf die Agenda wählte.

Auge um Auge. Rache ist süß. Wie du mir, so ich dir. Alles Sprichwörter, die zur Diskussion in der vergangenen Sitzung des Datenschutzbeirats passen. Darf ich als Opfer eines Hackerangriffs zurückhacken? Also einen sogenannten 'Hack Back' begehen. Meine erste Reaktion: Klar! Ist doch nur fair. Tatsächlich soll noch in diesem Sommer ein Gesetzesentwurf dem Bundesrat vorgelegt werden, der dies erlauben soll. Und das diskutierten die externen Datenschutz -Experten unseres Beirats. Der Datenschutzbeirat berät den Vorstand der Telekom in Datenschutz-Fragen. Eine von den Experten ist Juristin und Essayistin Yvonne Hofstetter. Sie lieferte in ihrem Vortrag überzeugende Gegenargumente für mein 'Klar!' zum Hack Back. Das wichtigste: Ich weiß oft gar nicht, wer überhaupt für den Angriff verantwortlich ist. Meistens nutzen Hacker beispielsweise auch fremde Server, die sie zuvor gehackt haben. Schlage ich zurück, könnte ich schlimmstenfalls zum Beispiel auch die Server eines Krankenhauses lahmlegen. Das hätte dramatische Folgen für die Patienten.

Die Telekom hat daher zu Hack Backs eine klare Position: Wir lehnen sie ab. Das Risiko, wen der Hack Back trifft, ist zu hoch. Außerdem ist es nicht die Aufgabe von privaten Unternehmen. Wenn überhaupt, dann von staatlichen Stellen. Uns als Anbieter von Telekommunikation ist es außerdem wichtig, nicht dazu verpflichtet zu werden, bei Hack Backs mitzuwirken.

Denn das Thema ist sehr weitreichend. Das Ganze wird noch spannender, wenn ein Angriff von staatlichen Stellen ausgeht. Zum Beispiel durch Geheimdienste. Ist der Angriff dann als kriegerischer Akt zu werten? Greift hier das Völkerrecht? Derzeit in den meisten Fällen nicht. Kann ein Staat auf einen Cyberangriff mit einem konventionellen oder atomaren Gegenschlag reagieren? Ein Angriff muss nach der Definition ein bewaffneter Angriff sein, bei dem Menschen zu Tode kommen und Infrastrukturen zerstört werden. Diese Voraussetzung erfüllen Cyberangriffe in der Regel bisher nicht. Spannend war der Hinweis von Honorarprofessor für Verfassungsrecht Hansjörg Geiger, dass das Völkerrecht ein Gewohnheitsrecht ist. Daher dürfen staatlich gelenkte Cyberangriffe nicht einfach hingenommen werden. Mit der Zeit entsteht ansonsten das Risiko, dass das Hinnehmen zum Völkergewohnheitsrecht wird. Und angegriffene Staaten und Institutionen sich dann nicht mehr angemessen wehren können. Der Datenschutzbeirat hat die Telekom gebeten, dazu einen Hinweis in ihre Positionierung mit aufzunehmen.

Datenschutz in Europa oder Corporate Digital Responsibility? Das war die Frage an euch auf Twitter. Ihr habt abgestimmt und euch für Europa entschieden.

Daher beschäftigte sich der Beirat auch mit einer Initiative der EU, Cybersicherheit in Europa zu stärken. Dazu sollen sich europäische Institutionen, Universitäten und Unternehmen besser vernetzen. Dies passiert in vier Konsortien, also Zusammenschlüssen von Unternehmen, Universitäten und Forschungsinstituten. Unser Beiratsmitglied Professor Gabi Dreo Rodosek koordiniert das Konsortium Concordia. Concordia wird vor allem an kundennahen Produkten und Lösungen forschen. Zum Beispiel Sicherheit für digitale Gesundheitsangebote, Drohnen oder autonomes Fahren. Firmen bringen ihre Problemstellungen in diesen Bereichen in das Projekt ein. Die beteiligten Forschungseinrichtungen entwickeln dann Lösungen, die die Firmen danach auf Praxistauglichkeit testen. Der Beirat hat uns als Telekom empfohlen, einen Beitritt zu Concordia zu prüfen. Das schauen wir uns nun genauer an. Übrigens: Bei Concordia sind nur europäische Firmen vertreten, um die europäische Industrie zu stärken. Denn die amerikanischen Größen dominieren auch in der Cybersicherheit den Markt.

Der Beirat diskutierte auch diese zwei Dienste, die die Telekom gerade entwickelt:

Smart fernsehen im smarten Zuhause

Zum einen geht es darum, wie sich unsere Kunden über mehrere unserer Dienste hinweg identifizieren können. Verbinde ich zum Beispiel mein Smart Home und mein Magenta TV, ergeben sich ganz neue Möglichkeiten. So könnte das Smart Home das Licht auf meine präferierte Fernsehatmosphäre einstellen, wenn ich fernsehe. Wir stehen hier noch ganz am Anfang. Die Datenschutz-Experten gaben den Kollegen noch wichtige Hinweise für die Entwicklung mit auf den Weg. Zum Beispiel natürlich die Einhaltung des Prinzips 'Privacy-by-Design', sodass Datenschutz direkt mitentwickelt und nicht erst nachträglich bedacht wird. Außerdem muss auch hier stets Transparenz darüber herrschen, welche meiner Daten verarbeitet werden und wozu. Ich muss als Nutzer die Souveränität über meine Daten behalten. Es ist also gut, dass die Kollegen den Datenschutzbeirat hier sehr früh in die Entwicklung einbezogen haben.

'Meine Stimme ist mein Passwort'

Mit diesem Satz können sich bereits seit einiger Zeit unsere Kunden an der Hotline mit ihrer Stimme identifizieren. Das ist praktisch für alle, die ihre Kundennummer nicht zur Hand haben. Eine Frage der Beiratsmitglieder war, ob sich das nicht leicht knacken ließe. Etwa indem man den gesprochenen Satz einfach aufzeichnen und dann abspielen könne. Das geht nicht, denn Menschen sprechen den Satz nie zweimal komplett identisch. Außerdem erkennt das System, wenn er von einem elektronischen Gerät abgespielt wird. Eine nette Anekdote: Theoretisch könnten eineiige Zwillinge das System überlisten. Denn deren Stimmen ähneln sich sehr. Wir werden das Thema wieder im Datenschutzbeirat besprechen. Und wir testen weiter, wie das System bei unseren Kunden ankommt. Wie sieht's bei euch aus, identifiziert Ihr euch schon bei uns oder einem anderen Unternehmen mit eurer Stimme?

Der Datenschutzbeirat tagt das nächste Mal im September. Ich bin gespannt, welche Themen dann auf der Agenda stehen.

Mehr zum Thema
Meine Daten, Deine Daten
Datenschutzbeirat