Im Interview mit Valentin Boussin, Country Manager Tixeo Deutschland
Über die Ereignisse in den vergangenen Wochen waren alle überrascht und schockiert. Doch im Zusammenhang mit den aktuellen und schrecklichen Ereignissen in der Ukraine wurde jüngst durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zweithöchste Warnstufe bezüglich der IT-Bedrohungslage ausgerufen. Bereits jetzt stellen ExpertInnen einen erheblichen Anstieg von Phishing-Mails, offensiven Netzwerkscans und Social Engineering-Aktivitäten fest. Gerade im kommunalen Bereich besteht im Bereich IT-Sicherheit ein hoher Nachholbedarf. Das zeigen insbesondere die vermehrten Angriffe auf Städte und Gemeinden in einer Frequenz und Vehemenz von bislang nicht gekanntem Ausmaß.
Für Kommunen ist die Nutzung von Videokonferenzsoftware in den letzten Monaten sehr wichtig geworden und muss damit als kritische Infrastruktur gewertet werden. Genau aus diesem Grund haben wir vom DIGITAL FUTUREmag das Gespräch mit Valentin Boussin, Country Manager Tixeo Deutschland, dem Hersteller der einzigen Videokonferenztechnologie mit ANSSI-Gütesiegel (ANSSI: französische Nationale Agentur für die Sicherheit von Informationssystemen) gesucht. Mit ihm sprechen wir über das Ökosystem der Cybersicherheit, sichere Kommunikation, die explosionsartige Zunahme von Online-Meetings und die spezielle Lösung, die Tixeo dem Markt und schließlich auch den Städten und Gemeinden anbietet.
DIGITAL FUTUREmag: Die aktuellen Ereignisse in der Ukraine beschäftigen uns alle sehr. Wie schätzen Sie derzeit die aktuelle Gefährdungslage im Bereich der kritischen IT-Infrastruktur ein?
Valentin Boussin: Der Bundesverband für den Schutz Kritischer Infrastrukturen (BSKI), aber auch Politiker warnen angesichts der politischen Lage in der Ukraine vor Cyber-Attacken. So gesehen sind Cyberangriffe aus Russland eine ernstzunehmende Gefahr. Auch das BSI warnt die Unternehmen und mahnt zu mehr Wachsamkeit. Eigentlich sind die Gefahren ja nicht neu und es gab immer wieder Warnungen vor Cyberangriffen aus Russland und die Angriffe, auch auf den öffentlichen Bereich, wurden immer häufiger. Aber wie bei der Pandemie hat die jetzige Situation mit dem Einmarsch Russlands in die Ukraine unsere Sicherheitsprobleme in Bezug auf die IT-Infrastrukturen wie mit einem Brennglas sichtbar gemacht. Wir haben in den letzten Jahren immer wieder gesehen, dass das eine Methode ist, die Russland anwendet, und wie viele Beispiele zeigen, sind wir da verletzbar. Trotz der Defizite in der Sensibilität Cyberangriffen gegenüber, dem an manchen Stellen fehlenden Knowhow und der komplexen Thematik des Schutzes vor Cyberangriffen ist der Schutz, z.B. der Stromversorgung, von Wasserwerken, Krankenhäusern oder auch in der Verwaltung allgemein von enormer Wichtigkeit für die Stabilität des Landes. Im kommunalen Bereich empfiehlt es sich dringendst, sich gegen Cyberschäden zu wappnen und entsprechende Vorkehrungen zu treffen. IT-SpezialistInnen sollten im Angriffsfall verfügbar sein, Notfallpläne sollten überprüft, Sicherheitskopien gemacht werden. Und natürlich gilt das erst recht für die Kommunikation. Gerade in Krisenzeiten ist eine stabile, sichere Kommunikation wichtig und die Videokommunikation ermöglicht eine ganz andere Qualität als nur ein Anruf. Per Telefon ist es z.B. sehr schwierig, der anderen Seite etwas zu zeigen oder gar gemeinsam an Anwendungen zu arbeiten.
DIGITAL FUTUREmag: In einem viel beachteten Artikel der „Zeit Online“ war die Rede davon, dass es bereits in über 100 IT-Systemen gelungen ist, wichtige Daten von öffentlichen Einrichtungen zu verschlüsseln und Lösegeldforderungen zu stellen. Stehen Ihrer Meinung nach Städte und Gemeinden hier in einem besonderen Fokus der Hacker?
Valentin Boussin: Das Beispiel des Landkreises Anhalt-Bitterfeld vom Juli 2021 zeigt auf, wie schnell es gehen kann. Mehrere Server des Landkreises wurden mit einer Schadsoftware infiziert und in der Folge wurden Daten verschlüsselt. Alle kritischen Systeme wurden offiziellen Angaben zufolge als Sofortmaßnahme vom Netz getrennt, um einen eventuellen Datenabfluss sofort zu unterbinden. Zwei Tage später entschied sich der Landrat, den Katastrophenfall auszurufen. Dass Kommunen tendenziell für digitale Angriffe verletzlich sind, ist nicht neu: Die IT-Abteilungen sind, gerade in kleineren Kommunen, oft verhältnismäßig klein und personell wie finanziell schlecht ausgestattet – gerade im Vergleich zu größeren Unternehmen oder dem Bund.
Für eine komplexe Aufgabe, wie die IT-Sicherheit sind das, freundlich formuliert, keine idealen Voraussetzungen – vor allem nicht in einer Zeit, in der die Digitalisierung immer weiter fortschreitet und die Zahl der Angriffe auf IT-Systeme wächst. Gerade gewinnorientierte Cyberkriminelle tendieren oft dazu, mit geringem Aufwand schlecht geschützte Systeme zu attackieren. Die Auswirkungen können für die Städte oder Gemeinden gravierende Auswirkungen haben, bis hin zum Stillstand der gesamten Infrastruktur.
DIGITAL FUTUREmag: Das Thema Videokonferenzen ist für viele Kommunen bezüglich der Abstimmung untereinander, aber auch mit Lieferanten, etc. zu einem wichtigen Kommunikationsmodul geworden. Warum ist es so gefährlich, herkömmliche Videokonferenzsysteme für den Einsatz im öffentlichen Dienst zu nutzen?
Valentin Boussin: Bei der virtuellen Kommunikation geht es um den Schutz der persönlichen Daten, also die Einhaltung der Datenschutz-Grundverordnung (DSGVO), um den Schutz von vertraulichen Inhalten, also der Verschlüsselung von Video, Audio und Daten sowie um die Sicherstellung, dass wirklich nur TeilnehmerInnen in einer Videokonferenz sind, die man auch dabei haben will. Die überwiegend aus den USA kommenden Videokonferenzanbieter sind seit dem sogenannten Schrems II Urteil des Europäischen Gerichtshofs aus 2020 nicht mehr datenschutzkonform. Der EuGH erklärte damit den Angemessenheitsbeschluss der EU-Kommission zum EU-US Datenschutzschild (Privacy-Shield-Beschluss 2016/1250) für ungültig. Dadurch wurde die Übermittlung von personenbezogenen Daten in die USA unter dem Datenschutzschild rechtlich nicht mehr zulässig.
Auch wenn die Server dieser Anbieter in Europa oder Deutschland stehen, enthält die Software gemäß amerikanischer Gesetzgebung immer eine sogenannte „Backdoor“. Also eine Hintertür, über die amerikanische Geheimdienste ohne Gerichtsbeschluss und ohne Information der Betroffenen Zugriff auf die Inhalte bekommen. Somit laufen AnwenderInnen Gefahr, durch die Nutzung von US-Cloud-Anbietern gegen EU-Recht zu verstoßen. Die Aufsichtsbehörden weiten ihre Ermittlungen immer weiter aus. Hohe Bußgelder drohen. Des Weiteren bieten nahezu alle Hersteller keine standardmäßige Ende-zu-Ende-Verschlüsselung aller TeilnehmerInnen in Gruppenkonferenzen an. Die Verschlüsselung findet dort jeweils nur bis zum Server statt und der kann wiederum Angriffen ausgesetzt werden und dadurch die Inhalte der Kommunikation offenlegen.
DIGITAL FUTUREmag: Worin unterscheidet sich Ihre Lösung konsequent von traditionellen Videokonferenzsystemen?
Valentin Boussin: Tixeo hat von Anfang an auf eine Architektur gesetzt, die konsequent auf Datenschutz und Sicherheit (Secure by design) ausgerichtet ist und die Bedürfnisse der permanenten visuellen Kommunikation erfüllt. Die softwarebasierten Lösungen gibt es für alle gängigen Betriebssystem (Windows, Linux, Android, MacOS, IOS) und sie sind als Cloudlösung in einer öffentlichen, europäischen Cloud in Europa erhältlich. Aber auch in einer privaten Cloud oder als eigene Serverlösung im eigenen Rechenzentrum (on-premise). Für Dienstleister (IT-Zweckverband, Kommunale IT-Dienstleister, etc.) gibt es sogar eine sogenannte „Tixeo for Operator“ Lösung, die von diesen Dienstleistern genutzt werden kann, um Verwaltungen in ihrem Bereich hochsichere und datenschutzkonforme (DSGVO) Videokonferenzangebote mit eigenem Logo und in eigenen Farben anzubieten. Tixeo ist die einzige Lösung, die von der ANSSI (vergleichbar mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)) für seine Ende-zu-Ende-Verschlüsselung zertifiziert ist. Außerdem ist sie mit dem Label „Cybersecurity made in Europe“ ausgezeichnet.
DIGITAL FUTUREmag: Wie können wir uns die Einführung Ihres Systems in der Praxis vorstellen?
Valentin Boussin: Tixeo Lösungen sind heute in Gemeinden, Bezirksämtern, Landesbehörden, Bundesbehörden oder Landtagen implementiert. Überall dort, wo es auf konsequenten Schutz der persönlichen Daten oder die vertraulichen Inhalte ankommt – und zwar in Deutschland und in ganz Europa. Tixeo bietet allen InteressentInnen eine variabel gehandhabte, kostenlose Testphase der Public Cloud Lösung für 30 Tage an. Dies gilt ebenso für einen sogenannten „Proof of Concept“ für eine interne Serverlösung. Während der Testphase werden alle Probanden aus Deutschland betreut und für die jeweils individuellen Anforderungen an die Hand genommen. Zusätzlich gibt es eine ausführliche deutschsprachige Benutzeranleitung. Service mit persönlicher Betreuung per Video wird bei Tixeo ganz groß geschrieben und die erfolgreiche Implementierung bei unseren KundInnen ist unser höchstes Ziel. Da unsere Lizenzen immer in einem Abonnement-Modell angeboten werden, liegt uns die Begeisterung der NutzerInnen am Herzen und wir tun alles, damit über die Zufriedenheit die Anzahl der AnwenderInnen steigt und auch die Erneuerung der Lizenzen nicht in Frage gestellt wird.
DIGITAL FUTUREmag: Welche Empfehlungen geben Sie den Verantwortlichen für diesen Themenbereich, die sich die Frage stellen, ob ihr System den aktuellen Sicherheitsanforderungen noch gewachsen ist?
Valentin Boussin: Um auch und gerade in Pandemie-Situationen, aber auch in sonstigen besonderen Ausnahmefällen – als Beispiel ist die Starkregen- und Hochwasserkatastrophe im Juli 2021 anzuführen – die Handlungsfähigkeit der Kommunen zur bestmöglichen Bekämpfung einer Krise und zum Schutz der Bürgerinnen und Bürger umfassend sicherzustellen, ist es daher sinnvoll, eine Anpassung der kommunalrechtlichen Vorschriften dahingehend vorzunehmen, dass die Möglichkeiten der Digitalisierung, z.B. der Einsatz von Videokonferenzsoftware, auch für die Entscheidungsfindung der demokratisch legitimierten kommunalen Vertretungen genutzt werden können. In den Kommunen ist das Thema “Digitale Gremiensitzungen” eine große Herausforderung. Momentan wird für das Ministerium für Heimat, Kommunales, Bau und Gleichstellung des Landes Nordrhein-Westfalen ein Anforderungskatalog (funktionale und nicht-funktionale Anforderungen an digitale Gremiensitzungen inklusive Abstimmungen/Wahlen) erarbeitet sowie ein Zulassungsverfahren zur einheitlichen Zulassung von Videokonferenz- und Abstimmungslösungen modelliert.
Auf Basis dieser Arbeiten hat das Ministerium für Kommunales entsprechende Verwaltungsvorschriften vorbereitet, die sich aktuell im Fertigstellungsprozess befinden. Wenn die jeweils Verantwortlichen also nicht so genau wissen, ob sie mit ihren jetzigen eingesetzten Lösungen sicher und datenschutzkonform sind, gibt es ein paar einfache Kriterien. Die Lösung sollte aus Europa kommen, sie sollte für Sicherheit entwickelt sein und sie sollte von offizieller Stelle für Sicherheit zertifiziert sein. Tixeo als europäischer Hersteller hat durch seine standardmäßige Ende-zu-Ende-Verschlüsselung aller Beteiligten in Gruppenkonferenzen die besten Chancen, bei den Empfehlungen ganz oben zu stehen.
DIGITAL FUTUREmag: Herzlichen Dank für diesen eindrücklichen Einblick und Ihre Hinweise.
Valentin Boussin: Bitte schön und Merci beaucoup für die Gelegenheit dieses Interviews.
