„Wir haben exzellente Argumente, unter anderem eine Vernetzung auf höchstem Niveau. Wir sehen auch, dass die Internetaktivität auf den internationalen Datenautobahnen bei den Unternehmen, die sich bei uns niedergelassen haben, extrem zunimmt.“ Das war es, was der Premier- und Medienminister in seiner Rede zur Lage der Nation zu Digital Luxembourg einfiel. Konkretes hatte Xavier Bettel nicht im Gepäck, was vielleicht daran liegen mag, dass er ein entsprechendes Strategiepapier schon im Herbst vergangenen Jahres vorgestellt hatte. Immerhin vor dem Internet-Kommissar Günter Oettinger, der seine Pläne für einen digitalen Binnenmarkt diese Woche der Presse vorstellte.
Der Luxemburger Staatsminister hätte ruhig enthusiastischer sein können. Schließlich erhofft sich die blau-rot-grüne Regierung, der ICT-Sektor möge sich zur neuen Boom-Branche entwickeln. Dafür tut sie einiges – und erntet erste Früchte. Luxemburg hat 19 Datenzentren, das Hochgeschwindigkeits-Internet gilt als äußerst performant. Als Folge wählen immer mehr IT-Unternehmen Luxemburg als ihren Standort aus. Dazu zählen internationale Konzerne wie Ebay oder Amazon, aber auch kleinere Start-ups. 15 000 Mitarbeiter arbeiten im ICT-Sektor, zwischen 2013 und 2014 betrug der Arbeitskräftezuwachs dort 2,5 Prozent. Der ICT-Sektor steuert mittlerweile beachtliche 7,3 Prozent zum Bruttoinlandsprodukt bei.
Auch Unternehmen aus anderen Branchen – der Finanzwelt, der Industrie oder dem Handwerk – sind wegen der fortschreitenden Digitalisierung auf Expertise in Sachen Datenschutz und Netzadministration angewiesen. Oftmals können sie das jedoch nicht allein stemmen, weil ihnen das nötige Know-how oder die Ressourcen fehlen. „Es ist ein bisschen wie der Wettlauf zwischen Hase und Igel: Jeder versucht, dem anderen zuvorzukommen. Firmen sichern ihre Netze, Hacker versuchen, sie zu knacken, um an für sie wertvolle Informationen zu kommen“, beschreibt Tine Larsen, Leiterin der Datenschutzkommission (CNPD) die wachsenden IT-Herausforderungen für die Privatwirtschaft.
Das lässt sich auch aus den Statistiken von Cases in Luxemburg-Stadt, den Cyberworld awareness and security enhancement services, ablesen. Waren es 2013 rund 35 000 Meldungen, die bei der staatlich finanzierten Plattform eingingen, ist die Zahl im vergangenen Jahr auf über 65 000 Meldungen emporgeschnellt. Etwa 3 000 Mal mussten die Cases-Techniker ran, um fehlerhafte oder gehackte Computernetze zu untersuchen. „Bei etwa der Hälfte der Fälle handelt es sich um Industriespionage. 40 Prozent sind Phishing-Attacken, nur rund zehn Prozent machen regelrechte Hacker-Attacken aus“, weiß Pascal Steichen, Cases-Direktor. Beim Phishing nutzen Internet-Kriminelle die Gutgläubigkeit von Kunden und Firmenangestellten aus. Über gefälschte Websites, E-Mails oder Kurznachrichten werden sie aufgefordert, persönliche Daten preiszugeben. Dadurch gelingt es den Verbrechern, sich Zugang zu Firmen- und anderen Computersystemen zu verschaffen, wo sie mitunter enormen Schaden anrichten.
Um das zu verhindern, können sich Firmen und Privatpersonen bei Cases und dem dazugehörigen Zentrum Circl (Computer Incident Response Center Luxembourg) über neueste Tricks der Internetgangster informieren, mehr über schädliche Viren und Software (Malware) sowie geeignete Gegenmaßnahmen erfahren, Attacken melden und, falls gewünscht, Hilfe bei der Suche nach Fehlerquellen finden. Neben einem Helpdesk, wenn der sprichwörtliche Wurm sich bereits ins System gefressen hat, bietet Cases Kunden an, eine Risiko-Analyse erstellen zu lassen, die untersucht, wo die Stärken und Schwächen im betriebseigenen Datennetz liegen. Das Angebot ist Teil der digitalen Strategie, um Luxemburg in Sachen Internetsicherheit wettbewerbsfähiger zu machen.
„Wir stellen bei vielen Firmen ein gestiegenes Bewusstsein fest. Auch wenn man noch nicht von einem generellen Umdenken sprechen kann“, beschreibt Pascal Steichen die Lage. Spektakuläre Fälle wie die Sony-Leaks, bei denen Hacker dem Medienkonzern hunderttausende Kunden-Emails, noch unveröffentlichte Filmprojekte und geheime Drehbücher stahlen, aber auch Attacken von islamistischen Hackern auf den französischen Fernsehsender TV5 führen dazu, dass sich immer mehr Unternehmen Gedanken um die Sicherheit ihrer Firmennetze machen. „Es gibt Firmen, die sind gut abgesichert, andere sind es gar nicht“, sagt François Thill, im Wirtschaftsministerium zuständig für die Cybersecurity.
Firmen sind nicht nur gut beraten, sich gegen Viren, Phishing und andere Attacken zu schützen, um nicht sensible Kundendaten zu verlieren. Die eigene Geschäftsbasis kann Schaden nehmen, wenn Personaldaten, Konzeptpapiere oder noch geheime Innovationen in falsche Hände geraten. „Es erinnert an eine Gnu-Herde. Wer sich am wenigsten schützt, den erwischt es“, warnt Thill davor, Sicherheitsrisiken im Netz auf die leichte Schulter zu nehmen. Ein professioneller Datenschutz diene dem eigenen Schutz – und dem Schutz der Kunden. Firmen, die regelmäßig in ihre IT-Infrastruktur investieren, werben auch damit. „Datenschutz wird zunehmend zum Verkaufsargument“, ist sich Tine Larsen von der CNPD sicher.
Die CNPD arbeitet mit Firmen aller Größen beim Datenschutz zusammen. Dabei geht es unter anderem um rechtskonformes Speichern, Sichern oder Löschen von Kundendaten, gesetzlich zulässige Videoüberwachung von Kundenparkplätzen oder Mitarbeitern, und mehr. Auch mit kleineren Firmen steht das Team um Tine Larsen in Kontakt: „Die Zusammenarbeit ist exzellent“, freut sich Larsen.
In Zukunft könnte sich das ändern. Denn sollte die EU-Datenschutzverordnung wie geplant Ende des Jahres in Kraft treten, kommen auf die Unternehmen und auf die Datenschutzbehörde neue Aufgaben zu. Künftig müssen alle Unternehmen, egal welcher Größe, die Daten von EU-Bürgern speichern, sich europaweit einheitlichen Regeln zum Datenschutz unterwerfen. Unternehmen müssen ihre Kunden informieren, welche Daten sie zu welchem Zweck speichern, ihnen mitteilen, wenn sie diese an Dritte weitergeben – und sie gegebenenfalls löschen. Internetprovider müssen Angriffe auf Kundendaten binnen 24 Stunden der nationalen Datenschutzbehörde und den Betroffenen melden. „Das ist eine Herausforderung. Oft dauert es mehrere Wochen, wenn nicht Monate, bis selbst größere Firmen Datenlecks entdecken“, weiß Thierry Lallemang von der CNPD.
Die strengen Regeln sorgen für manches Murren in der Privatwirtschaft, denn Firmen legen ihre Achillesfersen nicht gerne offen: Datenlecks können im schlimmsten Fall bedeuten, als nachlässig und imkompetenz zu wirken und dadurch Kunden zu verlieren. Deshalb wird Vertraulichkeit sowohl bei der CNPD als auch von Cases groß geschrieben: Die Mitarbeiter haben einen Code of Conduct, an den sie sich halten müssen.
Die CNPD, die über den gesetzlich verankerten Schutz der Privatsphäre wacht, hat in der Vergangenheit den Akzent gerade bei privaten Firmen oft auf die Prävention gelegt und sie über datenschutzrechtliche Erfordernisse beraten, bevor diese dgitale Datenbanken oder Überwachungssysteme anlegen, um Sicherheitslücken und Rechtsverstöße von vornherein auszuschließen. Sind alle datenschutzrechtlichen Bedenken ausgeräumt, gibt es die Betriebszulassung. Betreiber von RFID-Systemen, etwa in der Nahrungsmittel- oder Kleidungsindustrie, sind aber in Zukunft gehalten, selbst so genannte Privacy Impact Assessments (Pia) durchzuführen.
„Wir werden künftig mehr Kontrollgänge machen“, kündigt Larsen an. Allerdings zeigt der Skandal in Deutschland über eine Zusammenarbeit des Bundesnachrichtendienstes mit dem amerikanischen Geheimdienst NSA, um europäische Firmen, ja sogar Regierungen auszuspähen, dass der beste Schutz nichts taugt, wenn sich nicht einmal staatliche Behörden an Gesetze halten.
In Zukunft soll die Datenschutzbehörde in dem Land zuständig sein, wo eine Firma ihren Hauptsitz hat. Damit soll die grenzüberschreitende Abstimmung bei international operierenden Firmen erleichtert werden: Die jeweilige nationale Datenschutzbehörde übernimmt den Lead und stimmt sich mit den Datenschutzbehörden in den Ländern ab, wo ein Unternehmen Niederlassungen hat. „Das bedeutet, dass wir künftig noch enger mit anderen Behörden zusammenarbeiten werden“, erklärt Thierry Lallemang.
Auch national bemüht sich die CNPD um verstärkte Zusammenarbeit, etwa mit den der Finanzaufsicht CSSF, der Regulierungsbehörde ILR: „Wir versuchen, den bürokratischen Aufwand so gering wie möglich zu haben“, betont Lallemang. Das Angebot kommt bei den Unternehmen offenbar gut an. Einen Wermutstropfen gibt es: Wegen der knappen Personaldecke von 18 Mitarbeitern (bei tausenden Unternehmen) beträgt die Wartezeit für eine Beratung inzwischen zwischen sechs Wochen und zwei Monaten.
Zu den engen Partnern der CNPD zählt auch Cases. Der Dienst hat eine eigenes Verfahren zur Risikoanalyse entwickelt, das beim obligatorischen Privacy Impact Assessment eine Schlüsselrolle spielen kann. Derzeit wird es in Gemeinden eingesetzt, offenbar mit guter Resonanz: Cases-Techniker arbeiten daran, die Methode, die Pascal Steichen zufolge sogar im EU-Ausland nachgefragt wird, für weitere Bereiche der öffentlichen Verwaltung und für Privatunternehmen aufzuarbeiten, zu vereinfachen und, wo möglich, zu verallgemeinern. „Mit der Risikoanalyse sollen Unternehmen künftig bis zu 70 Prozent schneller als bisher, ihre Datennetze auf Sicherheitslücken überprüfen können“, hofft Steichen. Statt wie bisher Monate für die aufwändige Analyse zu benötigen, sollen es dann nur noch wenige Wochen sein.
Mit dem Angebot versucht die Regierung, mehrere Fliegen mit einer Klappe zu schlagen: Unternehmen, insbesondere kleinen und mittleren, die sich keine eigene Datenschutzabteilung oder Datenschutzbeauftragte leisten können, soll beim Aufbau von sicheren Datennetzen unter die Arme gegriffen werden. „Wir wollen, dass mittel- bis längerfristig die Firmen das nötige Knowhow selbst aufzubauen“, erklärt Steichen den erhofften Multiplikatoreffekt. Dafür arbeitet Cases mit externen IT-Spezialisten zusammen, die Firmen bei Bedarf beraten und helfen, maßgeschneiderte Lösungen zu finde, Sicherheitsschulungen inklusive. Der Vorteil für die Betriebe: Statt einen fünfstelligen Betrag oder mehr für eine Beraterfirma auszugeben, reduziert sich ihr Beitrag auf eine überschaubare Summe. Gleichzeitig ist die Hilfe zum professionellen Risikomanagement eine Vorbereitung auf Pia und andere Auflagen, die demnächst von Brüssel verlangt werden.
François Thill vom Wirtschaftsministerium sieht deshalb die Bedenken und Sorgen, die in anderen europäischen Ländern wegen der EU-Datenschutzverordnung geäußert werden, eher gelassen. In Deutschland warnen Industrieverbände vor Investitionen in Milliardenhöhe für die Privatwirtschaft. „Deutschland hat kein standardisiertes Verfahren zur Risikoanalyse. Wir arbeiten seit einigen Jahren daran. Deshalb haben wir einen Vorsprung“, frohlockt Thill. Die ministerielle Arbeitsgruppe Cybersecurity hat im Winter einen Entwurf für eine Broschüre erstellt, die detaillierte Maßnahmen für mehr Internetsicherheit aufführt. Sie wurde vom Regierungsrat gutgeheißen, wird aber wohl erst Ende Mai der Öffentlichkeit vorgestellt werden. Ihre großen Leitlinien sind: die nationale und internationale Kooperation verstärken, sensible Dateninfrastrukturen wie Krankenhäuser, Atomkraftwerke, Elektrizitätswerke und ähnliches besser gegen Attacken, Manipulation und Datenklau zu schützen, Cyberkriminalität verstärkt zu bekämpfen, den Draht zur Wissenschaft und Forschung zu verbessern, die Allgemeinheit zu sensibilisieren. „Man kann Sicherheit nicht einkaufen, dazu gehört eine entsprechende Haltung“, betont François Thill.
Genau das ist das Ziel: Luxemburg hat in den vergangenen Jahren Milliarden in ‚harte’ Standortfaktoren investiert, wie Hochgeschwindigkeits-Datenautobahnen und Datenzentren. Nun soll es um die „weichen“ Faktoren gehen. Dazu gehört, die Öffentlichkeit auf die Anforderungen der Digitalisierung besser einzustellen. Von Kindesbeinen an. Demnächst will Erziehungsminister Claude Meisch (DP) seine digitale Strategie für Schule und Kindergarten vorstellen. Am 19. und 20. Mai findet die internationale Fachmesse ICT Spring Europe in Luxemburg statt. Das alles aber wird nicht ausreichen, um mehr ICT-Firmen und hochkarätige Fachkräfte nach Luxemburg zu locken. Unternehmen brauchen neben schnellen Leitungen vor allem bezahlbaren Büroraum, ihre Mitarbeiter Wohnungen, wenn sie sich dauerhaft niederlassen sollen. Vielleicht klang Bettel bei seiner Rede deshalb so gedämpft.