Bund, Länder und Kommunen sind durch den Einsatz neuer Technologien wie Cloud-Computing in der Verwaltung zusätzlich gefordert, als Verschlusssache klassifizierte Informationen zu schützen. Das zeigen neue Spionagemethoden und gezielte Angriffe auf Geheimsachen. Gleichzeitig will die öffentliche Verwaltung die übergreifende Nutzung ihrer Daten fördern und sich öffnen. Als Helfer bei diesem Spagat zwischen Schützen und Nützen entpuppen sich so genannte Privacy-Enhancing Technologies (PETs). Das zeigt ein Report über den Nutzen von PETs in der öffentlichen Verwaltung, den Sopra Steria und PUBLIC beim GovTech-Gipfel 2023 vorstellen.
Aktuelle Krisen und Pandemie stellen neue Anforderungen an Behörden in Deutschland, Geheiminformationen zu schützen. Es geht beispielsweise darum, die mittlerweile als Standardkommunikationskanal etablierten Videokonferenzen ausreichend gegen Hacker- und Spionageangriffe zu sichern. Das Auswärtige Amt hat zudem im vergangenen Jahr für den Bund eine Plattform für die Geheimkommunikation eingerichtet. Diese soll nun zu einem gemeinsamen Kommunikationsverbund mit den Ländern ausgebaut werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet darüber hinaus in seinem Lagebericht 2022 mehr Beratungs- und Prüfeinsätze bei Digitalisierungsprojekten mit Geheimschutzrelevanz.
„Digitalisierung ist Chance und Risiko zugleich: Auf der einen Seite können mittels digitaler Verfahren befugte Personen dezentral auf Verschlusssachen zugreifen. Damit bleiben Politik und Verwaltung in Krisen handlungsfähig und entscheiden schneller. Auf der anderen Seite entstehen dadurch neue Angriffsflächen. Der Public Sector steht somit dauerhaft unter Druck, die Dimensionen Nützen und Schützen in Einklang zu bringen, ohne beide Seiten gegeneinander abwägen zu müssen“, sagt Olaf Janßen, Head of Cyber Security bei Sopra Steria.
Parallel zum Dreiklang aus Geheimschutz, Datenschutz und Informationssicherheit will der öffentliche Sektor die übergreifende Nutzung behördlicher Daten voranbringen. Das zeigt unter anderem die Datenstrategie des Bundes. Ziel ist ein Kulturwandel hin zu einem datengetriebenen Handeln, hieß es beim vergangenen Digitalgipfel.
Risikoaversion verhindert stärkeren Technologieeinsatz
Der Einsatz neuer Technologien kann dabei helfen, dass Verwaltungen den Spagat zwischen Geheimschutz, Datenschutz, Informationssicherheit und übergreifender Nutzung von Behördendaten hinbekommen. Das zeigt ein Report von Sopra Steria und PUBLIC über den Einsatz so genannter PETs (Privacy-Enhancing Technologies). Dabei handelt es sich um spezielle technologische Verfahren, die sich unterschiedlich einsetzen lassen. Einige PET-Verfahren verbessern die Verschlüsselung sensibler Informationen, andere gewährleisten den Schutz personenbezogener Daten durch Anonymisierung oder das Erzeugen synthetischer Daten und wieder andere verhindern den Zugriff auf und die Manipulation von Rohdaten. Je nach Risikoeinstufung und Anwendungsfall lassen sich unterschiedliche PETs einsetzen und kombinieren.
In der Wirtschaft werden PETs bereits für eine sichere und gesetzeskonforme Datennutzung verwendet. Im öffentlichen Sektor in Deutschland fehlt dagegen eine breitflächige Auseinandersetzung mit den Technologien. Es gibt einige Pilotprojekte, beispielsweise bei Bonitätsprüfungen anhand von Steuerbescheiden. Das PET-Verfahren „Selective Disclosure“ sorgt hier für einen datensparsamen Austausch zwischen Kreditnehmern, Banken und Finanzbehörden und verhindert Rückschlüsse auf personenbezogene Details.
Handlungsempfehlungen für eine stärke Nutzung von PETs
Die zentrale Hürde für eine noch stärkere Öffnung gegenüber PETs ist eine generelle Risikoaversion. Häufig halten Behörden an erprobten Datenverarbeitungsprozessen fest, die den Datenaustausch aus Sicherheitsgründen nicht vorsehen – obwohl es datenschutzkonforme technologische Lösungen dafür gäbe, zeigt der Report von Sopra Steria und PUBLIC.
Um das zu ändern, empfehlen die Studienautoren, neue Anreize zu schaffen. Dazu zählen unter anderem die Aufnahme der PETs in die Architekturrichtlinie des Bundes, weitere Förderungsprogramme, die thematisch über die Anonymisierung von Daten hinausgehen, sowie die Entwicklung von Standards als Orientierungshilfe für Behörden.
Zudem braucht es auf Landesebene in den IT-Referaten und Open-Data-Abteilungen mehr Aufklärung und Wissen, was die Technologien bewirken können und wie sie funktionieren, so Studienmacher. „Anbieter von PET-Lösungen haben uns in Interviews eines mehrfach gespiegelt: Beim Einsatz von PETs im öffentlichen Sektor hakt es oft daran, dass viele Verwaltungen noch kein klares Bild über die Potenziale und Grenzen der Technologien für den eigenen Anwendungsfall besitzen“, berichtet Jakob Kollotzek, Koautor des Reports und Research Lead bei PUBLIC.
Methodik des Reports
Der Report „Privacy-Enhancing Technologies für die Verwaltung“ gibt einen Überblick über die Funktionsweise von PETs und zeigt konkrete Möglichkeiten für ihren Einsatz im öffentlichen Sektor. Der Report basiert auf Desk-Research, einer Marktanalyse und begleitenden Interviews mit Start-ups, die PET-Lösungen anbieten. Die Details zur Methodik finden Sie im Appendix des Reports.
ZUM DOWNLOAD