Wir haben es doch alle gern bequem, oder? AGBs lesen, bevor wir das Hakerl setzen? Eher nicht. Vielleicht auch noch jedes Mal kontrollieren, welche Berechtigungen mit einem Klick freigeben werden? Kaum. Aber sich dann ärgern, weil wir doch nachgesehen haben und nun wissen, welche Berechtigungen diese neue Business-App nun mit unserer Zustimmung erhält …
Na ja, Zustimmung … haben wir wirklich immer die Wahl?
Die meisten User wissen noch nicht einmal, wo diese Berechtigungen zu finden wären. Wir sind nachlässig mit persönlichen Daten. Fotos, Dokumente – alles kugelt irgendwo in der Cloud völlig ungeschützt herum. Passwortgeschützt?
„Passwort1234” ist kein Passwort – allenfalls noch eine Kränkung. Für den Hacker.
Er hat sich etwas Komplizierteres verdient.
Und da wären auch die Unternehmen, die mit immer höheren Compliance-Richtlinien zu kämpfen haben, oder einfach „nur” ein wirklich papierloses Büro wollen. Mit der Handy-Signatur ist man hier einen entscheidenden Schritt weiter, mit ihr kann man sich eindeutig im Internet authentifizieren.
Meine Handy-Signatur ist meine persönliche Unterschrift im Netz, sie ist der eigenhändigen Unterschrift per Gesetz gleichgestellt. Und mit ihr ist so vieles möglich, man kann auch ein Notebook mit einer Handy-Signatur verschlüsseln.
„Was viele nicht wissen”, erläutert Michael Butz, Geschäftsführer bei A-Trust: „Die Handy-Signatur ist die Bürgerkarte. Wir haben jetzt über eine Million User – wenn man Signatur und Karten zusammenrechnet. Karten und Dienstausweise für Ministerien, die Republik, Rechtsanwälte, Notare, Sachverständige – damit sie elektronisch interagieren können. Österreich hat in diesem Bereich mit E-Government wirklich etwas geleistet, hier hat Österreich eine Vorreiterrolle in Europa gespielt.”
Compliance und die Praxis
Alois Oberegger, Vorstandsdirektor der Wohnbaugruppe Ennstal und auch für die IT verantwortlich, möchte „seine” Signatur-Box nicht mehr missen – ist er damit doch auf dem besten Wege zum papierlosen Büro: „Wir verwenden die Handy-Signatur für drei Bereiche: für den Zahlungsverkehr – wir haben für jede Wohnungseigentumgemeinschaft eigene Konten, dadurch haben wir da allein schon 2.000 Girokonten für jedes Projekt. Wir haben 2.000 Mietverträge pro Jahr, die wir neu abschließen, und wir haben sehr viele Aufträge an Lieferanten, die alle unterschrieben werden müssen. Die bei uns alle digital signiert werden.” Denn das Problem, das sich bei der Wohnbaugruppe Ennstal oft einstelle, sei, dass die zuständigen Geschäftsführer räumlich nicht auf einem Ort vertreten sind. „Grundsätzlich haben wir das Vier-Augen-Prinzip, z.B. im Zahlungsverkehr und im Vertragswesen. Wir können die Unterschriftsleistung nun mobil machen. Für uns ist wichtig, dass wir den Vorgang so gut im Workflow integriert haben, dass es hier zu keinen Manipulationsmöglichkeiten kommt”, betont Oberegger. Mit der Handy-Signatur kann in den Ablauf nicht mehr eingegriffen werden. Mussten früher, etwa beim Zahlungsverkehr, noch Datenträgerbegleitzettel ausgedruckt, dann jeweils extra unterschrieben und weitergeleitet werden, so konnte man nun diese große Sicherheitsproblematik ausmerzen.
Leidiger Datenschutz
„Wir sehen bei A1: Wir müssen den Kunden mehr aufklären”, berichtet Irene Jakobi, Leiterin CSR A1 Telekom Austria Group und A1, aus der Praxis: „Und wir müssen dem Kunden die Möglichkeit geben, zu sagen ‚das will ich, das will ich nicht'. Der Kunde muss auch lernen, Verantwortung über seine eigenen Handlungen und Taten zu übernehmen. Die eigentliche Challenge: Das, was relativ kompliziert und komplex im Gesetz steht, für den Endkunden einfach ‚herunterzubrechen'.”
Denn, so Jakobi, es scheitere oft auch am Verständnis. Für Kinder und Jugendliche, aber auch teilweise für Erwachsene, sind die Konsequenzen oft schwer absehbar. ‚Wenn das dort so steht, was heißt das im realen Leben?' Die Daten werden weiterverwendet, weitergegeben oder vermarktet: ‚Macht mir das was aus?' ‚Kann mir das egal sein?' „Datensicherheit ist auf jeden Fall ein großes Angstthema. Das persönliche Befinden zum Datenschutz ist sehr unterschiedlich”, meint Jakobi. Dass sich der eigene Einkauf irgendwann in einer Statistik wiederfindet, lässt dem einen die Schweißperlen auf die Stirn treten, dem anderen ist das schon nicht einmal mehr egal.
Der User ist lasch
Auf eine ganz andere Sicherheitsproblematik macht Marko Wildhaber, Head of Marketing & Communications Österreich beim IT-Dienstleister Atos, aufmerksam: auf das lasche Umgehen mit (Daten-) Sicherheit im öffentlichen Raum. Öffentliche Verkehrsmittel, egal ob Bus, U-Bahn, Bahnhof oder Flughafen, sind für Datendiebe ein weites Feld: da werden Betriebsinterna über namentlich genannte Kunden besprochen, diverseste Passwörter eingetippt, an der Umsatzpräsentation wird für alle einsehbar im Wartebereich gearbeitet – vielleicht werden auch noch Beträge von der Buchhaltung telefonisch durchgegeben.
Aber abgesehen von der persönlichen Einstellung zur Sicherheit, stehe man vor zwei Herausforderungen, so Wildhaber: „Netzwerke und Security-Richtlinien so gestalten, dass die User in gewisserlei Hinsicht gezwungen werden, Sicherheitsrichtlinien einzuhalten – bei gleichzeitig hoher Usability, damit die User nicht verzweifeln. Der Traum ist ‚Single-sign-on', wo ich mich einmal, am besten mittels Zwei-Weg-Authentifizierung, einlogge und in allen Systemen drinnen bin.” Die zweite Herausforderung ist für Wildhaber die Geräte-Unabhängigkeit. „Im Moment sind wir auf dem Stand, dass ich mit meinem Gerät immer und überall arbeiten kann. Das ist aber zu wenig. Der nächste Step muss sein, dass ich mit jedem Gerät arbeiten kann. Dass heißt, ich muss zuerst den User authentifizieren und nicht das Gerät. Das Gerät ist egal. Bei uns funktioniert das schon so: Ich kann mich als User bei jedem Gerät anmelden, kann meine Sachen erledigen und wenn ich mich dann wieder abmelde, sind die Daten von dem Gerät weg. Keiner kann mehr darauf zugreifen. Diese Tools gibt es, sie müssen nur entsprechend eingesetzt werden.”
Unterschreiben am Screen
Bei der SAVD Videodolmetschen GmbH ist man, dank A-Trust Datenraum, entscheidende Schritte weiter. „Wir haben den A-Trust Datenraum adaptiert und auf das Notwendigste reduziert”, erzählt Feldin Smajlovic, Geschäftsführer der SAVD Videodolmetschen GmbH. „Der Kunde loggt sich im – wir nennen ihn ‚Signaturdatenraum' – ein, lädt das Dokument hoch und lädt den Dolmetscher, den er auf der anderen Leitung hat, zur Unterschrift ein. Der Dolmetscher akzeptiert die Einladung, kann das Dokument lesen, vergrößern, im Dokument blättern und wenn das Dokument für den Dolmetscher passt, dann signiert er es digital.”
Wenn es nicht passt, dann hat der Kunde schnell und unmittelbar die Möglichkeit, das Dokument anzupassen und wieder in Echtzeit hochzuladen.
Bis es dem Dolmetscher passt und er das Dokument digital signiert. „Sobald der Dolmetsch das Dokument signiert hat, sagen wir, der Dolmetscher braucht das Dokument nie wieder sehen”, macht Smajlovic die Vorteile der Handy-Signatur für Kunden von SAVD Videodolmetschen deutlich.
Dolmetscher können Niederschriften von Einvernahmen online und rechtssicher unterschreiben. Die Daten werden ausschließlich im österreichischen Hochsicherheitszentrum von A-Trust archiviert, das durch die Rundfunk und Telekom Regulierungs-GmbH kontrolliert wird.
Technische Möglichkeiten
„Hier gibt es viele Tools, die man einsetzen kann. Aber Datensicherheit ist noch immer ein sehr theoretisches Thema, das praktisch schwer vermittelbar ist”, sagt Michael Butz, Geschäftsführer bei A-Trust.
Zum Beispiel die Signatur-Box: Das Unternehmen erhält einen versiegelten Server, der im eigenen Unternehmen aufgestellt wird. „Die Signatur-Box läuft komplett im Hintergrund, da kommt das PDF in verschlüsselter Form hinein, dort wird es unterschrieben, und unterschrieben heißt: Es wird der Inhalt getrennt und nur der Hash an unser Rechenzentrum übermittelt”, erklärt Butz die Vorgangsweise. Der Hash wird signiert. Das heißt, A-Trust kennt den Inhalt des Dokuments gar nicht; der Inhalt hat das Unternehmen nie verlassen. Warum so kompliziert? „Unternehmen unterliegen ja starken Compliance-Richtlinien und Unternehmen fühlen sich einfach wohler, wenn das Dokument nie ihr Haus verlässt”, sagt Michael Butz.
Ein Blick in die Glaskugel
Für Alois Oberegger sind die nächsten Schritte in der Wohnbaugruppe Ennstal vom papierarmen zum papierlosen Büro, außerdem wünscht er sich generell mehr Digitalisierung: „Hier wird auch die Signatur eine große Rolle spielen. Wir sehen das in der Praxis: Unterschiedliche Behörden in unterschiedlichen Bundesländern haben einen unterschiedlichen Stand an Digitalisierung. Der Papierkrieg muss einfach weniger werden, die digitale Rechnung wäre die Chance gewesen”, fordert Oberegger.
Ein Thema, das auch dem A-Trust Geschäftsführer am Herzen liegt: „Stichwort digitale Rechnung: Rechnungen an den Bund kann man nur elektronisch stellen, dazwischen ist alles andere möglich. Es ist abstrus.” Da wollte die Republik mit guten Beispiel vorangehen, allein die Unternehmer haben untereinander nicht nachgezogen.
Irene Jakobi sieht in der Zukunft weniger Papier, weniger Reisen, weniger CO2, bei gleichzeitiger Effizienzsteigerung: „Ich brauche für ein Meeting nicht mehr nach Innsbruck fliegen. Das funktioniert face-to-face per Videokonferenz.” Im Idealfall mittels Handy-Signatur „unterschrieben”.
Michael Butz ortet grundsätzliche Veränderungen in unserer Gesellschaft: „Wir sind in einer Transition. Wenn ich mir meine Kinder anschaue, die sind alle nur noch Nutzer. Wir gehören zu einer Generation, die noch alles besitzen wollte.” Der Trend gehe ja eindeutig Richtung „Nutzer”, weg vom „Besitzer”. Beispiel gefällig? Sammeln Sie noch Platten oder streamen Sie schon?
Wohin geht die Reise?
„Wenn ich mir aber die Transition zum Nutzer ansehe, dann ist auch klar: Hier muss der Nutzer geschützt werden!
Nämlich davor, dass der Nutzer nicht benutzt wird”, findet Butz klare Worte und zeichnet folgendes Szenario: „Wir haben in Österreich das Recht aufs eigene Bild. Alle, die ihr Bild auf Social Media hochladen, haben dieses Recht in der Sekunde des Hochladens abgegeben. Und die meisten wissen zumeist auch gar nicht, dass sie so ein Recht haben – respektive hatten. Sie haben Rechte, die sie eigentlich nicht mehr exekutieren können.” Da wären wir also wieder bei der Aufklärung …
Die Themen würden auch immer komplexer, so Butz, man könne vom Einzelnen nicht erwarten, alle komplexe Themen auch zu verstehen und dementsprechend zu handeln. Hier wäre der Gesetzgeber in der Pflicht, ähnlich wie seinerzeit bei der Katalysatorpflicht im Auto. Wir erinnern uns: Die Industrie baute erst dann Katalysatoren zur Schadstoffreduktion in die Fahrzeuge, nachdem der Gesetzgeber für alle Neuwagen Katalysatoren verpflichtend vorschrieb. Dem einzelnen Neuwagenkäufer wurde somit die Entscheidung „Katalysator? Ja oder nein?” abgenommen.
„Wir müssen uns gemeinsam eine Welt erschaffen, die in Zukunft zum ‚Nutzen', nicht zum ‚Benutzt werden' führt, brachte Michael Butz die Round Table-Diskussion zu einem philosophischen Ende.