TeleTrusT engagiert sich

TeleTrusT - Bundesverband IT-Sicherheit e.V. ist Mitglied des European Telecommunications Standards Institute.

Für TeleTrusT-Infos

E-Mailadresse:

TeleTrusT-Video

TeleTrusT-Video

TeleTrusT-Kooperationen

IT-Security Management Conference 2019 Allianz für Cyber-Sicherheit Logo: Cryptocharta Logo: Cyber Security Challenge SecuPedia Logo: Sicherheits Expo München OMNISECURE Logo Mobile World Congress Logo: secIT RSA Conference Logo Logo: IT Security Insights Logo: Vietnam Security Summit InfoSecurity Logo: SDW 2018 D-A-CH Security Logo Innovation World qSkills Security Summit it-sa Logo Logo: it-sa India Logo: Internet Security Days 9. Österreichischer IT-Sicherheitstag 2012 Logo German Silicon Valley Accelerator Koordinierungsstelle IT-Sicherheit im DIN Deutsches Institut für Normung Logo: eab – European Association for Biometrics Verbraucher sicher online Open Signature Initiative SkIDentity Logo

Stellungnahmen 2019

Erwägungen und Vorschläge in Bezug auf die Zusammenarbeit mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)

27.09.2019

Stärkung der Wettbewerbsfähigkeit deutscher Technologieunternehmen mit Produkten, die der Exportkontrolle unterliegen

I. Problem

Deutsche Hersteller von Soft- und Hardware sind durch die langwierigen Standardprozesse der BAFA-Voranfragen und Ausfuhrgenehmigungen sowie wechselnde Genehmigungsentscheidungen im internationalen Wettbewerb benachteiligt und werden daher von Endkunden teilweise gemieden. Europäische Mitbewerber werben zum Teil damit, dass Produkte "German-free" sind. Eine internationale Technologie- und Plattformführerschaft deutscher und europäischer Firmen wird dadurch verhindert. Zudem fehlt es deutschen Unternehmen an Planungssicherheit in Bezug auf Investition in den internationalen Geschäftsaufbau in diversen Zielländern und Kundensegmenten.

Vor der Entscheidung für Soft- und Hardwareakquisitionen wünschen internationale Kunden aus dem öffentlichen und privaten Sektor die Technologien in einem sogenannten Proof of Concept (POC) zu testen. Bei einem POC wird die Soft- oder Hardware in einem Zeitraum von einer Woche bis drei Monaten in Testsystemen oder durch eine begrenzte Anzahl an Endnutzern auf ihre Verwendbarkeit hin geprüft. Dies geschieht gegen ein Entgelt oder kostenlos.

Es entspricht nicht den Erwartungen der Kunden und den schnelllebigen Charakteristika von Soft- und Hardwaretechnologien (z.B. Entwicklungszyklen, Bedarfen), dass man sechs Monate und mehr auf diese Tests warten muss bzw. auf die Information, ob ein Erwerb bzw. Test überhaupt möglich ist. Darüber hinaus verhindert der Ausfuhrgenehmigungsprozess und seine Dauer, dass deutsche Firmen hoch skalierbare und profitable Geschäftsmodelle nutzen können (z.B. Cloud / Software as a Service). 

Darüber hinaus besteht für deutsche Soft- und Hardwarehersteller mit vergleichbaren genehmigungspflichtigen Produkten keine Transparenz über die Ausfuhrentscheidungen des BAFA. Dadurch entstehen sowohl in den Unternehmen, als auch beim BAFA Doppelaufwände durch die Bearbeitung von Anträgen für die gleichen Produkte und Endkunden (Stichwort: Bürokratiekosten).

II. Vorschläge

1. Etablieren eines verlässlichen und transparenten Prüfungsprozesses

Insbesondere der unklare Zeitrahmen der Prüfung verursacht die größten Schäden im Markt. Aus Sicht des Kunden wird die Notwendigkeit eines zu prüfenden Exportverfahrens durchaus verstanden. Geschickt kommuniziert wird dies sogar als Qualitätsmerkmal begriffen. Unsicherheit entsteht durch nicht eindeutige Zeitabläufe. Diese werden als Unzuverlässigkeit begriffen. Dies trifft insbesondere bei Anträgen zu, bei denen andere Ministerien beteiligt werden müssen. Ein angemessener Zeitrahmen sollte definiert werden (z.B. zwei Monate eines "Standardantrages" und vier Monate bei Beteiligung weiterer Bedarfsträger), - dies sollte im Zweifelsfall aber nicht zu negativen Bescheiden führen.

2. Etablieren eines verkürzten und verlässlichen Rahmens für Nachfolgeanträge

Verständlicherweise können sich politische Rahmenbedingungen tagesaktuell ändern. Dennoch wird es in den Kundenbeziehungen mit schon existenten Projekten als Unzuverlässigkeit wahrgenommen, wenn Nachfolgeanträge (gleiches Land, gleicher Kunde, teilweise gleiches Projekt) trotz vorheriger Prüfung wiederum in Unplanbarkeit und damit Projektunsicherheit resultieren. Eine Priorisierung oder verkürzte Prüfung auf Basis von bestehenden Projekten (innerhalb eines vernünftigen Zeitraums) wäre aus Sicht der Industrie notwendig.

3. Etablieren eines neuen Prozesses für POCs im Soft- und Hardwarebereich

Der deutsche Hersteller von Soft- und Hardware meldet den Start und das Ende des POC bei dem BAFA an und kann sofort damit beginnen. Der Hersteller verpflichtet sich nach dem Ende des POC die Produkte nach Deutschland zurückzuführen oder bis zum Erhalt einer Ausfuhrgenehmigung in einem nicht verwendbaren Zustand beim Kunden zu belassen. Parallel zum POC findet der Prozess der Voranfrage oder Ausfuhrgenehmigung statt. Sollte eine Ablehnung erfolgen, werden die Soft- und Hardware nach dem Ende des POCs zurückgenommen.

4. Etablieren einer jährlich überarbeiteten Positivliste deutscher Soft- und Hardware, Staaten und Endkunden außerhalb von EU und NATO, an die genehmigungspflichtige Soft- und Hardware ohne Ausfuhrgenehmigung verkauft werden können

Diese Positivliste könnte insbesondere für Dual-Use-Güter für eine Reihe nicht-militärischer Kunden und ganze Warengruppen definiert werden. Dadurch können die Unternehmen einen informierten Kundendialog führen und müssen das BAFA nicht mit Voranfragen belasten. Zudem kann die Bearbeitungszeit im BAFA für Ausfuhrgenehmigungen drastisch reduziert werden. Da eine derartige Liste niemals alle Länder und Endkunden abdecken kann, werden Kunden, die nicht genannt werden, über den regulären Prozess nach Bedarf geprüft. Die Ergebnisse der Prüfung werden in die Positivliste überführt.

5. Etablierung einer täglich einsehbaren Liste über die bestehenden Genehmigungen für Soft- und Hardwareprodukte ohne Nennung der beantragenden Firma zur Wahrung von Geschäftsgeheimnissen

Beispiel: E-Mailverschlüsselungssoftware / Indonesien / Verteidigungsministerium

Dadurch können die Unternehmen einen informierten Kundendialog führen und einen Antrag komplett vermeiden, wenn sie ebenfalls eine Soft- oder Hardware an das Verteidigungsministerium in Indonesien verkaufen wollen. Zudem kann die Bearbeitungszeit für Ausfuhrgenehmigungen drastisch reduziert werden.

6. Etablierung eines jährlichen Review-Prozesses für Soft- und Hardware, die überprüft, ob sie weiterhin der Exportkontrolle unterliegen müssen

Durch Technologiesprünge oder höherwertige, frei im Markt verfügbare Produkte (z.B. Krypto) kann das Argument Exportkontrolle nicht mehr haltbar sein.

Kommentierung zu EU Delegated Regulation "Internet-connected radio equipment and wearable radio equipment"

28.02.2019

TeleTrusT-Kommentar an EU-Kommission

Regarding your planned implication analysis "Commission delegated regulation on Internet-connected radio equipment and wearable radio equipment" please enhance your consideration by the following: As digital developments and industry will play an increasing part in daily and economic life we recommend to look into possible implication for cyber security actors as well. In chapter C on page 5 it is stated that "Radio equipment and technologies" are a "key part of the forthcoming deployment of new technological developments“. However, if you take a look at "Likely economic impacts" only players within the manufacturing industry are mentioned to be considered. Implications for the cyber security industry like new business opportunities, an increased customer base, impulses for new innovations and businessmodels etc. are missing. Looking further, the EU-GDPR already puts Europe at the forefront of data protection. As awareness for data protection rises globally, new laws and regulation concerning the protection of private data and data transfer could set another valuable impulse for the development of new techological solutions not only (to be used) within the European single market but also to be exported internationally. So, it is not only about a Single Digital European Market, it also is about the cyber security as an economic actor and about arising global opportunities.

Lastly, we want to put social issues into focus. It might be worth considering the potential for increased awareness and possible understanding of IT security issues by new laws and regulations concerning the protection of private data and data transfer. The more politics, industry and press discuss these issues, the more they are put into focus of a broad public base. This increased interest might lead to a better understanding and, eventually, get people to make sound decisions when purchasing smart devices.

Summarizing we recommend to enhance your analysis by the following:

- Likely economic impacts concering the cyber security industry as economic actors
- Likely social impacts: investigations regarding increased awareness for IT security issues within the public

TeleTrusT-Mitgliedschaft

TeleTrusT-Anbieterverzeichnis

Service: securityNews


Quelle: www.it-sicherheit.de