Interview mit Dr. Thomas Kremer: Vertrauen kann man nicht erzwingen

Was bedeutet Vertrauen in digitale Kommunikation für Sie? Welchen Stellenwert hat dieses Vertrauen für unsere Gesellschaft?

Thomas Kremer: Das Vertrauen in die Kommunikation bedeutet auf der einen Seite, dass die Inhalte wirklich sicher sind, auf der anderen Seite, dass sie vertraulich behandelt werden. Das eine ist eine technische Frage, das andere ist eine Frage des Umgangs mit den Inhalten. Wir sollten nicht vergessen: Das Fernmeldegeheimnis ist aus gutem Grund im Grundgesetz verankert. Wir haben als Gesellschaft das Thema Vertrauen in die Kommunikation sehr hoch angesetzt: Wir haben es in unsere Verfassung geschrieben.

Ist denn mein Vertrauen als Bürger in meine Kommunikation – egal ob per E-Mail oder per Telefon – gerechtfertigt? Wie kann man es stärken?

TK: Ich denke schon, dass Vertrauen gerechtfertigt ist, aber man kann es nicht erzwingen. Man muss es sich erarbeiten. Unsere Gesellschaft wird immer digitaler, damit nimmt der Datenaustausch zwangsläufig zu. Die Digitalisierung und alles, was damit zusammenhängt, etwa mobiles Arbeiten oder smarte Infrastrukturen, können nur gelingen, wenn die Menschen darauf vertrauen können, dass die Kommunikation sicher ist.

Das setzt konkret voraus, dass Sie auf der technischen Seite mit starken Verschlüsselungstechnologien arbeiten. Zusätzlich sind internationale Sicherheitsstandards notwendig. Die sind schwierig zu etablieren, aber unabdingbar. Ein anderes wesentliches Element sind verlässliche rechtliche Rahmenbedingungen. In Deutschland beziehungsweise Europa haben wir das ja schon mit unseren hohen Datenschutzstandards, die in der europäischen Datenschutzgrundverordnung geregelt werden.

Außerdem ist es wichtig, gesellschaftlich darüber zu diskutieren, wo wir Regeln brauchen und wo wir uns auf Selbstkontrolle und Best Practice verlassen können. Neue Trends, wie künstliche Intelligenz oder die Nutzung von Robotern, müssen in einem breiten gesellschaftlichen Prozess diskutiert werden. Welche Regeln brauchen wir dafür?

Für wie wichtig halten Sie es, dass sichere Kommunikationsmittel nutzerfreundlich gestaltet werden?

TK: Aus meiner Sicht sind einfache Lösungen ganz zentral – vor allem für die Durchschnittsnutzer, die an der digitalen Welt teilnehmen. Früher war Sicherheit etwas für Experten. Das hat sich inzwischen geändert – und das ist auch richtig so. Wir brauchen neben den technischen Lösungen auch Verbraucheraufklärung, damit die Nutzer lernen, sicher mit den digitalen Medien umzugehen. Es geht im Kern um das Thema digitale Souveränität: Der Mensch muss Herr seiner Daten sein. Dazu gehört auch Verschlüsselung – einer der Kernpunkte. Ich halte es für sehr sinnvoll, wenn wir die Transportwege von Nachrichten verschlüsseln. Dadurch können wir das Vertrauen der Menschen in digitale Kommunikation enorm steigern.

Zuverlässige Ende-zu- Ende-Verschlüsselung vor allem bei E-Mails ist in der Anwendung für normale Nutzer immer noch zu kompliziert. Haben Sie einen Vorschlag, wie Unternehmen es realisieren können, dass es in der Handhabbarkeit einfacher wird?

TK: Die Telekom hat gemeinsam mit dem Fraunhofer-Institut das Produkt Volksverschlüsselung1 entwickelt. Es erlaubt einfache Ende- zu-Ende-Verschlüsselung. Es bleibt aber die Frage, warum die Verbraucher das nicht ausreichend nutzen. Verschlüsselungen wie bei WhatsApp oder anderen Messengern, die im Programm eingebaut sind, haben es einfacher, weil sich die Nutzer überhaupt nicht darum kümmern müssen – es wird einfach im geschlossenen System verschlüsselt. So etwas funktioniert auch schon bei der Telekom- E-Mail. Daran müssen alle noch arbeiten.

Was halten Sie von Zertifizierungen und Gütesiegeln, die man bekommen kann, wenn man gewisse Sicherheitsstandards erfüllt? Meinen Sie, dass das einen Effekt hat auf das Vertrauen der Nutzer in die Kommunikationsmittel?

TK: Das ist ganz zweifellos so. Dadurch hat der Bürger die Wahl, sichere, zertifizierte Produkte und Dienstleistungen in Anspruch zu nehmen. In dem Zusammenhang ist wichtig, dass diese Zertifizierung von anerkannten Einheiten durchgeführt wird, zum Beispiel, wie wir es vom Auto kennen, vom TÜV. Das ist eine Organisation, die staatlich kontrolliert wird. So eine Einheit kann dann in Bezug auf bestimmte festgelegte Standards überprüfen, ob die Vertrauenswürdigkeit gegeben ist. Ich bin davon überzeugt, dass das dazu führt, dass das Vertrauen steigt.

Brauchen wir auf der anderen Seite eine strengere Kontrolle und eine Haftung, wenn man keine ausreichenden Sicherheitsstandards verwendet?

TK: Das haben wir ja zum Teil heute schon. Wenn es darum geht, kritische Infrastrukturen zu sichern, haben wir das IT-Sicherheitsgesetz und auf europäischer Ebene die NIS-Richtlinie. Sie sorgen für Sicherheit, zum Beispiel indem sie Meldepflichten einführen, sodass Sicherheitsvorfälle gegenüber Behörden transparent werden. Viele Sicherheitslücken beruhen auf Schwachstellen in der Software. Daher werden wir mehr Sicherheit nur dann erreichen, wenn für kritische Softwarefehler Sicherheits- Updates zur Verfügung gestellt werden, und zwar über den gesamten Lebenszyklus eines Produkts. Hard- und Softwarehersteller müssen verpflichtet sein, in solchen Fällen tatsächlich Aktualisierungen zur Verfügung zu stellen.

Ein zweiter Punkt ist mir sehr wichtig: Wenn man Schwachstellen in Software erkennt – und ich rede hier von kritischen Schwachstellen –, muss man sie melden und offenlegen. Das gilt auch für Sicherheitsbehörden. Diese Schwachstellen dürfen nicht einfach versteckt werden, weil man sie zum eigenen Vorteil nutzen möchte, um zum Beispiel jemanden auszuspionieren oder abzuhören. Das ist nach meiner Meinung eine grundfalsche Einstellung. Denn jede Schwachstelle, die erkannt wird und nicht veröffentlicht wird, birgt das Risiko, dass Kriminelle sie ausnutzen. Wenn sie nicht bekannt ist, können wir uns dagegen nicht verteidigen. Und das ist ein Risiko, das wir nicht eingehen sollten.

Dr. Thomas Kremer

Foto: Deutsche Telekom

Dr. Thomas Kremer

Dr. Thomas Kremer, Jahrgang 1958, ist seit Juni 2012 Vorstand für Datenschutz, Recht und Compliance bei der Deutschen Telekom AG. Von Januar 2014 bis März 2015 leitete er zusätzlich kommissarisch das Vorstandsressort Personal. Im September 2013 wurde Thomas Kremer in die Regierungskommission Deutscher Corporate Governance Kodex berufen. Seit November 2015 ist Thomas Kremer zudem Vorsitzender des Vereins „Deutschland sicher im Netz“.

  1. https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/verschluesselung. []