Ernsthafte Warnungen aus dem Digitalministerium. Erhebliche Lücken müssen geschlossen werden

• Der Digitalrat ist ein Beratungsgremium des Digitalministeriums. Während seiner zweijährigen Amtszeit hat er zahlreiche Empfehlungen für die Minister erarbeitet, die meisten davon wurden jedoch von der Verwaltung nicht umgesetzt.
• Die gerade abgelaufene Amtszeit ( die Rekrutierung für den neuen Rat hat heute begonnen ) wird in einem Interview mit WNP von Agnieszka Jankowska, Vorsitzende des Rates und gleichzeitig Direktorin für Unternehmensangelegenheiten und öffentliche Angelegenheiten bei T-Mobile Polska, zusammengefasst.
• Beispiele für Trägheit? Office-Anwendungen. „Es gibt keinen Standard für deren Sicherung, daher werden sie oft zu einem Schlupfloch für Cyberkriminelle“, sagt Jankowska. Auch aus Sicht der ZUS ist das ein großes Problem.
• Warum dauert die Arbeit am nationalen Cybersicherheitssystem so lange? – Weil es in der Regierung kein einheitliches Team gibt. Ganz einfach – meint der WNP-Gesprächspartner.

Die Amtszeit des Digitalrats im Digitalministerium neigt sich dem Ende zu. Wie fällt die Bilanz dieser zwei Jahre aus?

Ich freue mich, dass es in und um das Gremium Menschen aus verschiedenen Institutionen gibt, die die Herausforderungen im Bereich der Digitalisierung erkennen und etwas dagegen unternehmen möchten. Das ist sehr ermutigend. Andererseits habe ich das Gefühl, dass nur wenige der vorgeschlagenen Empfehlungen umgesetzt wurden.

Warum arbeitet der Digitalrat?

Ist der Digitalrat ein Kinderspiel?

Ich denke, dass ein gut zusammengesetzter Rat notwendig ist. Wir haben nicht nur dem Ministerium für Digitales, sondern auch anderen Ministern der Regierung verschiedene Lösungen vorgeschlagen und einen Brief an den Premierminister geschickt.

Wir haben in dieser Amtszeit die Annahme übernommen, dass wir uns nicht scheuen, schwierige Themen anzusprechen. Unsere Rolle besteht darin, Lösungen aufzuzeigen, die der Gesellschaft dienen. Deshalb haben wir eine Position zur Cybersicherheit im medizinischen Bereich oder im Wissenschafts- und Forschungssektor verfasst.

Haben die Minister Ihnen zugehört?

Zu unserer Position zur Cybersicherheit im medizinischen Sektor erhielt ich eine sehr sachliche Antwort vom E-Health-Zentrum, und zur Position zum Cybersicherheitsfonds antwortete das Finanzministerium. Die Antworten waren teils überzeugend, von Personen, die wir zu Treffen aus Institutionen eingeladen hatten, teils in offizieller Form.

Und der Digitalminister? Das Foto des Ratsvorsitzenden wurde auf der Website des Ministeriums im Reiter „Führungskräfte und Schlüsselpersonen“ veröffentlicht.

- Hat er uns zugehört? Ich denke schon. Dreimal war sogar der stellvertretende Premierminister bei den Treffen anwesend. Ich habe jedoch nicht das Gefühl, dass unsere Aussagen zu konkreten Umsetzungen unserer Vorschläge geführt haben. Anfangs habe ich die Positionen des Rates nur in Form einer Notiz übermittelt, später habe ich offizielle Briefe mit der höflichen Bitte um eine Antwort verfasst.

Wir erhielten eine Antwort des Grammatikministers zur Position des Rates zur Bekämpfung von Desinformation über die Eigenschaften elektromagnetischer Felder in der Telekommunikation. Darüber hinaus durften wir Minister Standerski bei einem der Treffen zu eIDAS 2.0 begrüßen.

Was bedeutete es also, dass Sie eine „Schlüsselperson“ im Ministerium waren?

- Ehrlich gesagt weiß ich nicht, was der Kernpunkt meiner Rolle war, abgesehen von dem, was ich mir vorgenommen hatte, nämlich die Funktion der Ratsvorsitzenden so gut und effizient wie möglich auszuüben.

Digitalisierungsstrategie? Sie wurde nicht verabschiedet, obwohl seit den Beratungen ein halbes Jahr vergangen ist

Ist der Rat mit der vom Ministerium vorgelegten Digitalisierungsstrategie zufrieden?

- Wir haben bei der Erstellung eine umfassende Position vorbereitet. Einige unserer Ideen wurden darin berücksichtigt, andere nicht. Das ist ganz natürlich. Anschließend haben wir eine Reihe von Kommentaren zum bereits veröffentlichten Dokument eingereicht. Es ist schwierig für mich, jetzt etwas dazu zu sagen, da ich die endgültige Version dieser Strategie nicht kenne.

Das ist interessant, denn letztes Jahr standen wir unter großem Zeitdruck. Man konnte das große Engagement und den enormen Einsatz der Strategieabteilung erkennen, die daran gearbeitet hat. Im Dezember kündigte der Vorstand Konsultationen an. Heute, Mitte Juni, liegt immer noch keine endgültige Version der Strategie vor.

Die Dynamik hat nachgelassen.

- Sie ist genau gefallen.

Das klingt ein bisschen nach einem Beruf.

- Als Rat waren wir von Anfang an stark in die Ausarbeitung der Strategie eingebunden, wir haben zahlreiche Materialien vorbereitet, viele Sitzungen abgehalten, die Fristen waren sehr knapp, weshalb ich unzufrieden bin.

Gibt es in der Verwaltung viel Trägheit?

- Ja, deshalb erscheint mir der Rat wichtig. Wir brauchen einen Ort, an dem es ein paar positive „Verrückte“ gibt, die einfach etwas für Polen tun wollen. Sie werden darauf bestehen, dem einen oder anderen Minister zu folgen und sich gegenseitig daran zu erinnern.

Es muss jedoch betont werden, dass es unter den Mitgliedern des Rates auch Personen gibt, die der Ansicht sind, dass der Rat ein Beratungsgremium des Ministers ist und nur beraten und Vorschläge machen kann. Ob der Minister diese Vorschläge umsetzt oder nicht, ist nicht unsere Angelegenheit. Ich bin jedoch der Meinung, dass es sich lohnt, gute Vorschläge zu verfolgen und zumindest zu fordern, dass sie diskutiert werden.

Wer sollte im Digitalrat sitzen? Heute sind es unter anderem T-Mobile und Google

Wird dies durch die Zusammensetzung des Rates erleichtert?

Ich würde das Rekrutierungsverfahren für den Rat ändern, damit er wirklich ein Think Tank wird und Menschen, denen Veränderungen am Herzen liegen und die Zeit für zusätzliche Arbeit haben, dort arbeiten können. Ich würde definitiv offene Rekrutierungen für ausgewählte Themenbereiche ankündigen.

Bei der Formulierung einer solchen Anzeige müsste allerdings betont werden, dass es sich um eine intensive, schlecht bezahlte Arbeit handelt , die Zeit und Engagement erfordert.

Sie sind Lobbyist für ein Telekommunikationsunternehmen. Das stößt in der Branche teilweise auf Kritik.

Ich gebe zu, dass mir die Kritik sehr schwerfiel, da ich damals weder für mich noch für mein eigenes Unternehmen tätig war. Sie lässt sich in den Protokollen der Ratssitzungen sowie in den Themen der Stellungnahmen nachlesen – sie sind alle öffentlich zugänglich. Die einzige Kritik, die den Telekommunikationssektor betrifft, betrifft Desinformation über die Eigenschaften des elektromagnetischen Feldes.

Ich war dafür verantwortlich, die Arbeit des Rates zu organisieren und ihr Rhythmus und Effizienz zu verleihen. Dies war mein Ziel, seit ich die Vorsitzende übernommen hatte.

Sollten Vertreter bestimmter Unternehmen im Rat vertreten sein?

Es muss ein Gremium geben, in dem sowohl große als auch kleine Akteure, Vertreter des Nichtregierungssektors und der lokalen Regierungen zusammenkommen – das Ziel ist eine maximale Vielfalt. Letztlich handelt es sich um ein beratendes Gremium, und der Minister entscheidet, wie mit den Empfehlungen verfahren wird.

Leider unterliegen die getroffenen Entscheidungen immer diesem politischen Filter. Es ist unser Leid, dass Politiker nach Lösungen suchen, die die Wähler einfach irgendwie zufriedenstellen. Darüber hinaus muss jedes Projekt politische Unterstützung finden. Diese zu erhalten ist schwierig, denn selbst wenn jemand eine gute Idee und gute Absichten hat, wird es bald unzufriedene Menschen geben.

Woher kommen die Probleme mit dem Nationalen Cybersicherheitssystem?

Apropos Politik: Wie steht der Rat zum Nationalen Cybersicherheitssystem? Warum dauert die Verabschiedung dieses Gesetzes so lange?

- Weil es in der Regierung kein einheitliches Team gibt. Ganz einfach.

Minister Krzysztof Gawkowski sagte uns in einem Interview, dass das Problem die Minister seien .

- Jeder hat seine eigenen Interessen und jeder sieht andere Bedrohungen. Es wird nie der Fall sein, dass alle glücklich sind.

Seit Monaten gibt es von verschiedenen Seiten großen Druck, das Thema Hochrisikolieferanten aus dem Projekt herauszunehmen.

– Ja, aber das ist ein Thema, mit dem ich mich als Vorsitzende des Rates überhaupt nicht befassen wollte.

Weil er zu umstritten war?

Nein, es ist schlicht eine politische Entscheidung. Man muss sich zusammensetzen, die Anliegen aller Parteien diskutieren und eine Entscheidung treffen. Wie viele Jahre dauern die Konsultationen schon? Der Rat hat bereits in der letzten Legislaturperiode eine Stellungnahme zu dieser Angelegenheit erarbeitet. Was soll ich noch sagen? Hier muss man den Mut haben, die eine oder andere Entscheidung zu treffen.

Es ist offensichtlich, dass nicht alle glücklich sein werden. Und um es klarzustellen: Ich spreche nicht vom stellvertretenden Premierminister, sondern von anderen Ministern.

Office-Anwendungen werden zum Einfallstor für Cyberkriminelle

Was wird aus Sicht der Digitalisierung bis zum Ende der Legislaturperiode noch besonders wichtig sein?

Hochschulbildung und Wissenschaft erfordern große Aufmerksamkeit. Zwischen 2023 und 2024 hat sich die Zahl der Cybersicherheitsvorfälle an Universitäten fast verdoppelt, und dennoch gibt es immer noch keinen systematischen Ansatz zur Verbesserung der Situation.

Ähnlich verhält es sich im Gesundheitswesen: In einzelnen, auch privaten Gesundheitseinrichtungen werden Anwendungen entwickelt. Da es keinen Standard für deren Sicherung gibt, werden sie oft zu einem Schlupfloch für Cyberkriminelle. Sie nutzen sie, um Rezepte für verstorbene oder fiktive Personen zu erstellen oder beispielsweise die Krankengeschichte eines Patienten zu beeinflussen.

Wir hatten ein sehr gutes Treffen mit Vertretern der ZUS zu diesem Thema. Sie wiesen darauf hin, dass die ZUS-Bescheinigung, die ursprünglich ausschließlich für die Ausstellung von Krankmeldungen erstellt wurde, nun massenhaft für andere medizinische Zwecke verwendet wird, was ein ernstes Risiko von Missbrauch und Betrug birgt, und die Institution hat darüber keine vollständige Kontrolle.

Ein weiteres interessantes Problem ist E-Time.

E-Zeit?

Vor dem Digitalisierungsrat wusste ich nicht, dass es so etwas gibt. Das von einer polnischen Institution entwickelte und aus öffentlichen Mitteln finanzierte e-Czas-System ermöglicht die präzise Zeiterfassung von Ereignissen in IT-Systemen. Dies ist entscheidend für die Automatisierung von Entscheidungen und die Einhaltung von Fristen. Obwohl es kostenlos ist, wird es von Institutionen und Unternehmen kaum genutzt. Wir haben auch dazu Stellung genommen.

Wir haben uns außerdem dem Schutz Minderjähriger vor Gefahren im Internet verschrieben. Dies könnte sich bald in konkreten Maßnahmen niederschlagen.

Bedeutung?

Der Rat hat eine Stellungnahme zu den notwendigen Maßnahmen zum Schutz Minderjähriger vor sexuellem Missbrauch im Internet erarbeitet. Dabei geht es um das sogenannte CSAM (Child Sexual Abuse Material – Anm. d. Red.), das sich grundlegend von dem kürzlich bekannt gewordenen Problem des Pornografiekonsums durch Kinder unterscheidet. Minister Michał Gramatyka hat versprochen, dieses Thema aufzugreifen. Daher haben wir Vorschläge für die Inhalte eines solchen Gesetzes ausgearbeitet.

Ich warte auf ein Signal der Leitung, ob sich das Ministerium damit befassen wird. Ich hoffe, dass zumindest dieses Problem in naher Zukunft gelöst werden kann. Bisher haben wir oft von verschiedenen Seiten gehört, dass wegen der Wahlen derzeit nichts unternommen werden kann.

Wie kann das Problem des Kindesmissbrauchs im Internet gelöst werden?

In diesem Fall gibt es Argumente, dass polnische Vorschriften nicht viel helfen würden, da solche Materialien ein globales Problem seien.

Viele europäische Länder haben bereits wirksame Mechanismen eingeführt. Es ist von entscheidender Bedeutung, die Dienste – Polizei, Staatsanwaltschaft und Gerichte – mit spezifischen Instrumenten auszustatten, die eine schnellere Identifizierung und Bekämpfung von Sexualverbrechen gegen Kinder im Internet ermöglichen.

Die derzeit in Betrieb befindlichen Systeme, wie beispielsweise Dyżurnet in NASK, reagieren erst, nachdem eine Meldung eingegangen ist. Wir möchten Tools erstellen, die eine proaktive Reaktion ermöglichen , d. h. hier und jetzt, wenn wir es mit einem solchen Verbrechen zu tun haben.

Was bedeutet das genau?

Zu diesem Zweck kann eine Datenbank mit sogenannten Hashes erstellt werden, d. h. eine Sammlung verschlüsselter „Fingerabdrücke“ von Dateien (z. B. Fotos oder Filmen), die es ermöglichen, bekannte, illegale Inhalte schnell und automatisch zu erkennen, ohne sie erneut ansehen zu müssen. Natürlich muss eine solche Datenbank streng kontrolliert und der Zugriff eingeschränkt werden. Dabei geht es nicht nur um Effizienz, sondern auch um den Schutz der Psyche von Experten oder Polizeibeamten, die die Materialien analysieren – viele von ihnen müssen sich heute dieselben drastischen Inhalte mehrmals ansehen. Dank der Technologie kann dies automatisiert, die Reaktion der Dienste beschleunigt und die Zahl der Opfer reduziert werden.

Und natürlich ist die Liste damit noch nicht zu Ende. Es gibt noch viele weitere Themen, die im Rahmen der Digitalisierung bearbeitet werden müssen.

Zum Beispiel?

Digitale Kompetenzen sind sehr wichtig, das Thema Cybersicherheit ist besonders im Energiesektor von großer Bedeutung . Und auch die Informationssicherheit des Staates ist wichtig. Ganz am Ende der Ratsdiskussionen wurde das Thema des Zugangs zu öffentlichen Informationen angesprochen. Wir weisen dabei auf die Risiken hin, die mit dem Zugriff auf Daten verbunden sind, die aus Sicht der Staatssicherheit sensibel sind.

Kleinere Gemeinden verfügen häufig nicht über die Ressourcen oder das Wissen, um sensible Daten oder Infrastrukturen angemessen zu schützen. Sie unterliegen zahlreichen Vorschriften und müssen zahlreiche Maßnahmen ergreifen, die Transparenz auf der Grundlage von Anfragen im Rahmen des Zugangs zu öffentlichen Informationen, der Veröffentlichung von Dokumenten im Public Information Bulletin, in sozialen Medien oder in lokalen Medien erfordern.

Dies birgt erhebliche Risiken, wie die unbeabsichtigte Offenlegung personenbezogener Daten, Geschäftsgeheimnisse, Informationen zur IT-Infrastruktur, wie beispielsweise die Offenlegung einer IP-Adresse oder eines Vertrags mit Daten zu IT-Diensten und Systemen zur Sicherung des IT-Netzwerks. Vielleicht können wir bis zum Ende des Semesters einen Brief an den MC zu dieser Angelegenheit senden.