ISACA News
Digitale Souveränität - und wo bleibt die Ausbildung dazu?
Von Peter R. Bitterli, CISA, CISM, CGEIT, CRISC und CDPSE
Artikel erschienen in Swiss IT Magazine 2023/12
Artikel erschienen in Swiss IT Magazine 2023/12
Wie Martin Andenmatten in seinem Artikel «Chancen und Risiken der digitalen Souveränität» treffend beschreibt, hängen wir alle einerseits privat, andererseits über Unternehmen, deren Mitarbeitende oder Kunden wir sind, ab von unzähligen Internet-Dienstleistungen. Welche Teile dieser Dienstleistungen wo genau stattfinden und ob die jeweiligen Teile konform sind zu den Kundenverträgen, landesspezifischen oder landesübergreifenden Gesetzen und Regelungen, ist in zahlreichen Fällen kaum auch nur ansatzweise ermittelbar.
Das ist eigentlich eine erschreckende Erkenntnis: Wir stützen uns in zunehmendem Masse ab auf Dienstleistungen Dritter, die wir höchstens aus einer Kundenperspektive ansatzweise erkennen und kaum beurteilen (können). Aber – wirklich neu ist das nicht! Als Reisender im OeV oder als Käufer im Lebensmittelgeschäft oder Warenhaus haben wir schon «immer» solche Dienstleistungen Dritter verwendet. Und wahrscheinlich auch ohne, dass wir uns wirklich dafür interessiert haben, wie das jeweils konkret gemacht wurde. Warum dann dieser neue (?) Trend der digitalen Souveränität? Oder müssen wir allenfalls gar von einem Hype sprechen?
Was Martin Andenmatten gleich zu Beginn seines Artikels erwähnt, ist die wachsende Abhängigkeit von Dritten. Wenn «früher» einmal ein System der Transportbetriebe ausfiel: Wir hatten immer noch ein ausgedrucktes Ticket, einen kleinen Falt-Fahrplan oder sogar das blaue Kursbuch der SBB und konnten uns so in irgendeiner manuellen Form behelfen. Die vielfache – und oft auch nicht wirklich verstandene weil nicht bewusst erstellte – Redundanz gab uns eine gewisse Sicherheit, auch bei Störungen usw. an die notwendigen Informationen zu gelangen.
Die digitale Souveränität geht weit über das blosse Verstehen der Zusammenhänge hinaus. Sie umfasst vielmehr auch die gezielte Bereitstellung von «eigenen» Datenräumen durch Unternehmen oder Einzelpersonen und – das ist wohl das Wichtigste – die direkte Kontrolle über diese persönlichen oder unternehmensspezifischen oft heiklen Informationen wie z.B. Finanz- oder Gesundheitsdaten.
Das ist eigentlich eine erschreckende Erkenntnis: Wir stützen uns in zunehmendem Masse ab auf Dienstleistungen Dritter, die wir höchstens aus einer Kundenperspektive ansatzweise erkennen und kaum beurteilen (können). Aber – wirklich neu ist das nicht! Als Reisender im OeV oder als Käufer im Lebensmittelgeschäft oder Warenhaus haben wir schon «immer» solche Dienstleistungen Dritter verwendet. Und wahrscheinlich auch ohne, dass wir uns wirklich dafür interessiert haben, wie das jeweils konkret gemacht wurde. Warum dann dieser neue (?) Trend der digitalen Souveränität? Oder müssen wir allenfalls gar von einem Hype sprechen?
Was Martin Andenmatten gleich zu Beginn seines Artikels erwähnt, ist die wachsende Abhängigkeit von Dritten. Wenn «früher» einmal ein System der Transportbetriebe ausfiel: Wir hatten immer noch ein ausgedrucktes Ticket, einen kleinen Falt-Fahrplan oder sogar das blaue Kursbuch der SBB und konnten uns so in irgendeiner manuellen Form behelfen. Die vielfache – und oft auch nicht wirklich verstandene weil nicht bewusst erstellte – Redundanz gab uns eine gewisse Sicherheit, auch bei Störungen usw. an die notwendigen Informationen zu gelangen.
Die digitale Souveränität geht weit über das blosse Verstehen der Zusammenhänge hinaus. Sie umfasst vielmehr auch die gezielte Bereitstellung von «eigenen» Datenräumen durch Unternehmen oder Einzelpersonen und – das ist wohl das Wichtigste – die direkte Kontrolle über diese persönlichen oder unternehmensspezifischen oft heiklen Informationen wie z.B. Finanz- oder Gesundheitsdaten.
Solche Räume robust und vor Cyberangriffen sicher zu gestalten, zu betreiben, zu überwachen und letztlich auch zu verwenden, benötigt fundierte und extrem unterschiedliche Fachkenntnisse der daran beteiligten Projektleiter, Softwareentwickler, Anwendungsbetreiber und letztlich auch der gesamten (Cloud ?) Infrastruktur-Anbieter.
Eine gute, wenn nicht sogar hervorragende Ausbildung dieser Personen wäre daher eigentlich eine unabdingbare Voraussetzung für deren Bau und Betrieb. Warum ich hier den Konjunktiv «wäre» verwende? In vielen mir bekannten Fällen wird auf eine gut geplante und den konkreten Bedürfnissen entsprechende Weiterbildung de facto vollständig verzichtet. «Jegliche Ausbildungen der Mitarbeitenden sei unnötig; man beschaffe sich dann die notwendigen Skills zu den jeweils günstigsten Konditionen am internationalen Markt» – so oder ähnlich soll sich der ehemals verantwortliche IT-Chef einer Grossbank einmal geäussert haben.
Aus meiner ganz persönlichen Optik heraus ist das ein absoluter Blödsinn. Aus- und Weiterbildung muss zwar nicht permanent, aber auf jeden Fall gezielt und fokussiert auf die betrieblichen oder privaten Ziele betrieben werden.
Kommen wir zurück auf das Kernthema – die digitale Souveränität: Wo finde ich überhaupt ein Ausbildungsangebot zu Aspekten der digitalen Souveränität? Was ist jetzt wichtig für die entsprechenden IT-Projektleiter und Software-Entwickler, dass sie bei «sämtlichen» ihrer zukünftigen Projekte die für sie resp. ihre Auftraggeber wichtigen Aspekte der digitalen Souveränität einbringen? Die Aus- und Weiterbildung darf aber nicht auf die eigentlichen Macher (eben z.B. die Software-Entwickler) beschränkt bleiben – auch (fast) alle anderen sollten die aus ihrer Perspektive wichtigen Anforderungen einbringen können! Das heisst also auch für Sie/dich als Leserin oder Leser, als Kunde von vielen Dienstleistungen und auf der anderen Seite auch als Dienstleistungserbringer und vor allem als deren Entscheidungsträger auf allen Führungsstufen! Die digitale Souveränität sollte bei (fast) jeder Geschäftsaktivität mindestens einmal analysiert, wenn nicht wahrscheinlich wesentlich verbessert werden.
Eine gute, wenn nicht sogar hervorragende Ausbildung dieser Personen wäre daher eigentlich eine unabdingbare Voraussetzung für deren Bau und Betrieb. Warum ich hier den Konjunktiv «wäre» verwende? In vielen mir bekannten Fällen wird auf eine gut geplante und den konkreten Bedürfnissen entsprechende Weiterbildung de facto vollständig verzichtet. «Jegliche Ausbildungen der Mitarbeitenden sei unnötig; man beschaffe sich dann die notwendigen Skills zu den jeweils günstigsten Konditionen am internationalen Markt» – so oder ähnlich soll sich der ehemals verantwortliche IT-Chef einer Grossbank einmal geäussert haben.
Aus meiner ganz persönlichen Optik heraus ist das ein absoluter Blödsinn. Aus- und Weiterbildung muss zwar nicht permanent, aber auf jeden Fall gezielt und fokussiert auf die betrieblichen oder privaten Ziele betrieben werden.
Kommen wir zurück auf das Kernthema – die digitale Souveränität: Wo finde ich überhaupt ein Ausbildungsangebot zu Aspekten der digitalen Souveränität? Was ist jetzt wichtig für die entsprechenden IT-Projektleiter und Software-Entwickler, dass sie bei «sämtlichen» ihrer zukünftigen Projekte die für sie resp. ihre Auftraggeber wichtigen Aspekte der digitalen Souveränität einbringen? Die Aus- und Weiterbildung darf aber nicht auf die eigentlichen Macher (eben z.B. die Software-Entwickler) beschränkt bleiben – auch (fast) alle anderen sollten die aus ihrer Perspektive wichtigen Anforderungen einbringen können! Das heisst also auch für Sie/dich als Leserin oder Leser, als Kunde von vielen Dienstleistungen und auf der anderen Seite auch als Dienstleistungserbringer und vor allem als deren Entscheidungsträger auf allen Führungsstufen! Die digitale Souveränität sollte bei (fast) jeder Geschäftsaktivität mindestens einmal analysiert, wenn nicht wahrscheinlich wesentlich verbessert werden.
Wie bereits mehrfach betont, setzt dies eine gezielte und ausreichend umfassende Ausbildung voraus. Das ist wohl nicht einfach «nur» ein halbstündiges eLearning, sondern eine stufen- und funktionsgerechte Vermittlung der zahlreichen, oft komplexen und schwer verständlichen Aspekte der digitalen Souveränität. Das muss man als Unternehmen sorgfältig planen, um alle wirklich «passenden» Mitarbeitenden zu erreichen und genügend gründlich zu schulen. Und als Privatperson muss man sich wohl aus unterschiedlichsten Quellen das notwendige Wissen selber zusammensuchen – nicht einfach, wenn man kaum eine für die typischen Privatpersonen verständliche Erläuterung findet.
Digitale Souveränität umfasst übrigens gemäss dem vorhergehenden Artikel von Martin Andenmatten eigentlich als Voraussetzung, dass die Daten resp. Datenräume genügend vor Cyberangriffen und anderen kriminellen Aktivitäten geschützt sind. Das deckt aber erst einen ganz kleinen Teil ab: Digitale Souveränität bedeutet den Schutz der Einzelpersonen wie auch der Unternehmen vor staatlichen Zugriffen auf vertrauliche Daten. Und darüber hinaus auch die Möglichkeit, jederzeit und innert einer vernünftigen, eher kurzen Zeitspanne sämtliche Daten resp. die gesamte Datenverarbeitung an einen komplett anderen Dienstleister zu übertragen, ohne auswertbare Dateninhalte zurückzulassen.
Davon sind wir aber noch weit entfernt. Einzelne Cloud-Anbieter haben jetzt erste Lösungen am Laufen, wo der Housing-Provider und damit auch das gastgebende Land innert kürzester Zeit gewechselt werden kann – also nicht einfach nur in ein anderes RZ des entsprechenden Anbieters, sondern weg vom ersten Anbieter zu einem komplett anderen Anbieter in einem anderen Land. Wenn sich das einmal als «Grundschutz» etabliert hat, haben wir eine von vielen Voraussetzungen der digitalen Souveränität gemeistert. Irgendwann in wahrscheinlich eher «sehr» weiten Zukunft werden wir als Endanwender bei solchen Providern unsere eigenen Datenräume haben, wohl als erstes in Zusammenhang mit den Banken, den Krankenversicherungen oder – warum auch nicht? – den Steuerbehörden.
ICH weiss im Moment nicht wirklich, was ich als Privatperson derzeit mit der digitalen Souveränität anfangen soll
Digitale Souveränität umfasst übrigens gemäss dem vorhergehenden Artikel von Martin Andenmatten eigentlich als Voraussetzung, dass die Daten resp. Datenräume genügend vor Cyberangriffen und anderen kriminellen Aktivitäten geschützt sind. Das deckt aber erst einen ganz kleinen Teil ab: Digitale Souveränität bedeutet den Schutz der Einzelpersonen wie auch der Unternehmen vor staatlichen Zugriffen auf vertrauliche Daten. Und darüber hinaus auch die Möglichkeit, jederzeit und innert einer vernünftigen, eher kurzen Zeitspanne sämtliche Daten resp. die gesamte Datenverarbeitung an einen komplett anderen Dienstleister zu übertragen, ohne auswertbare Dateninhalte zurückzulassen.
Davon sind wir aber noch weit entfernt. Einzelne Cloud-Anbieter haben jetzt erste Lösungen am Laufen, wo der Housing-Provider und damit auch das gastgebende Land innert kürzester Zeit gewechselt werden kann – also nicht einfach nur in ein anderes RZ des entsprechenden Anbieters, sondern weg vom ersten Anbieter zu einem komplett anderen Anbieter in einem anderen Land. Wenn sich das einmal als «Grundschutz» etabliert hat, haben wir eine von vielen Voraussetzungen der digitalen Souveränität gemeistert. Irgendwann in wahrscheinlich eher «sehr» weiten Zukunft werden wir als Endanwender bei solchen Providern unsere eigenen Datenräume haben, wohl als erstes in Zusammenhang mit den Banken, den Krankenversicherungen oder – warum auch nicht? – den Steuerbehörden.
ICH weiss im Moment nicht wirklich, was ich als Privatperson derzeit mit der digitalen Souveränität anfangen soll
Artikel kommentieren
