Stellungnahmen 2019

Erwägungen und Vorschläge in Bezug auf die Zusammenarbeit mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)

27.09.2019

Stärkung der Wettbewerbsfähigkeit deutscher Technologieunternehmen mit Produkten, die der Exportkontrolle unterliegen

I. Problem

Deutsche Hersteller von Soft- und Hardware sind durch die langwierigen Standardprozesse der BAFA-Voranfragen und Ausfuhrgenehmigungen sowie wechselnde Genehmigungsentscheidungen im internationalen Wettbewerb benachteiligt und werden daher von Endkunden teilweise gemieden. Europäische Mitbewerber werben zum Teil damit, dass Produkte "German-free" sind. Eine internationale Technologie- und Plattformführerschaft deutscher und europäischer Firmen wird dadurch verhindert. Zudem fehlt es deutschen Unternehmen an Planungssicherheit in Bezug auf Investition in den internationalen Geschäftsaufbau in diversen Zielländern und Kundensegmenten.

Vor der Entscheidung für Soft- und Hardwareakquisitionen wünschen internationale Kunden aus dem öffentlichen und privaten Sektor die Technologien in einem sogenannten Proof of Concept (POC) zu testen. Bei einem POC wird die Soft- oder Hardware in einem Zeitraum von einer Woche bis drei Monaten in Testsystemen oder durch eine begrenzte Anzahl an Endnutzern auf ihre Verwendbarkeit hin geprüft. Dies geschieht gegen ein Entgelt oder kostenlos.

Es entspricht nicht den Erwartungen der Kunden und den schnelllebigen Charakteristika von Soft- und Hardwaretechnologien (z.B. Entwicklungszyklen, Bedarfen), dass man sechs Monate und mehr auf diese Tests warten muss bzw. auf die Information, ob ein Erwerb bzw. Test überhaupt möglich ist. Darüber hinaus verhindert der Ausfuhrgenehmigungsprozess und seine Dauer, dass deutsche Firmen hoch skalierbare und profitable Geschäftsmodelle nutzen können (z.B. Cloud / Software as a Service). 

Darüber hinaus besteht für deutsche Soft- und Hardwarehersteller mit vergleichbaren genehmigungspflichtigen Produkten keine Transparenz über die Ausfuhrentscheidungen des BAFA. Dadurch entstehen sowohl in den Unternehmen, als auch beim BAFA Doppelaufwände durch die Bearbeitung von Anträgen für die gleichen Produkte und Endkunden (Stichwort: Bürokratiekosten).

II. Vorschläge

1. Etablieren eines verlässlichen und transparenten Prüfungsprozesses

Insbesondere der unklare Zeitrahmen der Prüfung verursacht die größten Schäden im Markt. Aus Sicht des Kunden wird die Notwendigkeit eines zu prüfenden Exportverfahrens durchaus verstanden. Geschickt kommuniziert wird dies sogar als Qualitätsmerkmal begriffen. Unsicherheit entsteht durch nicht eindeutige Zeitabläufe. Diese werden als Unzuverlässigkeit begriffen. Dies trifft insbesondere bei Anträgen zu, bei denen andere Ministerien beteiligt werden müssen. Ein angemessener Zeitrahmen sollte definiert werden (z.B. zwei Monate eines "Standardantrages" und vier Monate bei Beteiligung weiterer Bedarfsträger), - dies sollte im Zweifelsfall aber nicht zu negativen Bescheiden führen.

2. Etablieren eines verkürzten und verlässlichen Rahmens für Nachfolgeanträge

Verständlicherweise können sich politische Rahmenbedingungen tagesaktuell ändern. Dennoch wird es in den Kundenbeziehungen mit schon existenten Projekten als Unzuverlässigkeit wahrgenommen, wenn Nachfolgeanträge (gleiches Land, gleicher Kunde, teilweise gleiches Projekt) trotz vorheriger Prüfung wiederum in Unplanbarkeit und damit Projektunsicherheit resultieren. Eine Priorisierung oder verkürzte Prüfung auf Basis von bestehenden Projekten (innerhalb eines vernünftigen Zeitraums) wäre aus Sicht der Industrie notwendig.

3. Etablieren eines neuen Prozesses für POCs im Soft- und Hardwarebereich

Der deutsche Hersteller von Soft- und Hardware meldet den Start und das Ende des POC bei dem BAFA an und kann sofort damit beginnen. Der Hersteller verpflichtet sich nach dem Ende des POC die Produkte nach Deutschland zurückzuführen oder bis zum Erhalt einer Ausfuhrgenehmigung in einem nicht verwendbaren Zustand beim Kunden zu belassen. Parallel zum POC findet der Prozess der Voranfrage oder Ausfuhrgenehmigung statt. Sollte eine Ablehnung erfolgen, werden die Soft- und Hardware nach dem Ende des POCs zurückgenommen.

4. Etablieren einer jährlich überarbeiteten Positivliste deutscher Soft- und Hardware, Staaten und Endkunden außerhalb von EU und NATO, an die genehmigungspflichtige Soft- und Hardware ohne Ausfuhrgenehmigung verkauft werden können

Diese Positivliste könnte insbesondere für Dual-Use-Güter für eine Reihe nicht-militärischer Kunden und ganze Warengruppen definiert werden. Dadurch können die Unternehmen einen informierten Kundendialog führen und müssen das BAFA nicht mit Voranfragen belasten. Zudem kann die Bearbeitungszeit im BAFA für Ausfuhrgenehmigungen drastisch reduziert werden. Da eine derartige Liste niemals alle Länder und Endkunden abdecken kann, werden Kunden, die nicht genannt werden, über den regulären Prozess nach Bedarf geprüft. Die Ergebnisse der Prüfung werden in die Positivliste überführt.

5. Etablierung einer täglich einsehbaren Liste über die bestehenden Genehmigungen für Soft- und Hardwareprodukte ohne Nennung der beantragenden Firma zur Wahrung von Geschäftsgeheimnissen

Beispiel: E-Mailverschlüsselungssoftware / Indonesien / Verteidigungsministerium

Dadurch können die Unternehmen einen informierten Kundendialog führen und einen Antrag komplett vermeiden, wenn sie ebenfalls eine Soft- oder Hardware an das Verteidigungsministerium in Indonesien verkaufen wollen. Zudem kann die Bearbeitungszeit für Ausfuhrgenehmigungen drastisch reduziert werden.

6. Etablierung eines jährlichen Review-Prozesses für Soft- und Hardware, die überprüft, ob sie weiterhin der Exportkontrolle unterliegen müssen

Durch Technologiesprünge oder höherwertige, frei im Markt verfügbare Produkte (z.B. Krypto) kann das Argument Exportkontrolle nicht mehr haltbar sein.

Bundesverband IT-Sicherheit e.V. (TeleTrusT) kritisiert geplante Schwächung der Verschlüsselung von Messenger-Kommunikation

12.06.2019

Sichere und vertrauenswürdige Digitalisierung kann nur mit starker und verlässlicher IT-Sicherheit gelingen / TeleTrusT bietet fachlichen Diskurs an

Das Bundesministerium des Innern, für Bau und Heimat plant laut Medienberichten eine Gesetzesänderung, die deutschen Sicherheitsbehörden künftig Zugriff auf die digitale Kommunikation von Verdächtigen gewähren soll. Hierfür sollen Anbieter von Messenger-Diensten gesetzlich verpflichtet werden, ihre Verschlüsselungstechnik so zu präparieren, dass Behörden bei Verdachtsfällen die Kommunikation mitlesen können. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bewertet wie bereits in der Vergangenheit solche Bestrebungen kritisch. Eine gesetzlich erzwungene Installation von Hintertüren stünde diametral gegen die "No backdoor"-Zusicherung der deutschen IT-Sicherheitsindustrie, die das Vertrauenszeichen "IT Security made in Germany" trägt.

Würden die Messenger-Betreiber die vorgesehenen Maßnahmen nicht umsetzen, könnten ihre Dienste in Deutschland gesperrt werden. Berufsgeheimnisträger wie Ärzte, Rechtsanwälte, Journalisten, Steuerberater und Geistliche wären in ihrer schützenswerten Kommunikation in besonderer Weise betroffen. Eine Verpflichtung der Messenger-Betreiber zum Einbau von Schwachstellen würde einen tiefen Eingriff in komplexe Softwaresysteme bedeuten. Solche Schwachstellen könnten von unbefugten Dritten ausgenutzt werden, um illegal schutzwürdige Informationen zu erlangen.

TeleTrusT hat großes Verständnis dafür, dass deutsche Strafbehörden mit modernen Fähigkeiten ausgestattet werden müssen. Die vom Gesetzgeber dem Vernehmen nach geplanten Maßnahmen würden aber dazu führen, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen IT-Lösungen im Speziellen zu erschüttern. Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem angemessenen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen. Die geplanten Maßnahmen sind damit industriepolitisch kontraproduktiv, schädigend für den weiteren notwendigen Digitalisierungsprozess und stehen im Widerspruch zur politischen Zielsetzung, "Deutschland zum Verschlüsselungsstandort Nr. 1" zu entwickeln. 

Der Staat hat die Pflicht, Bürgerinnen und Bürger sowie unsere Wirtschaft zu schützen. Durch die Aushebelung der Verschlüsselung wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Wir bieten daher den Vertretern der Gesetzgebungsverfahren einen offenen Dialog an, gemeinsam und mit der technischen Expertise der TeleTrusT-Mitgliedsunternehmen geeignete Lösungen zu erarbeiten.

Der Bundesverband IT-Sicherheit e.V. plant einen fachlichen Diskurs, um einen gesellschaftlichen Ansatz dafür zu finden, den Digitalisierungsprozess sicher und vertrauenswürdig zu gestalten und Strafverfolgung ohne Schwächung der IT zu ermöglichen.  

Kommentierung zu EU Delegated Regulation "Internet-connected radio equipment and wearable radio equipment"

28.02.2019

TeleTrusT-Kommentar an EU-Kommission

Regarding your planned implication analysis "Commission delegated regulation on Internet-connected radio equipment and wearable radio equipment" please enhance your consideration by the following: As digital developments and industry will play an increasing part in daily and economic life we recommend to look into possible implication for cyber security actors as well. In chapter C on page 5 it is stated that "Radio equipment and technologies" are a "key part of the forthcoming deployment of new technological developments“. However, if you take a look at "Likely economic impacts" only players within the manufacturing industry are mentioned to be considered. Implications for the cyber security industry like new business opportunities, an increased customer base, impulses for new innovations and businessmodels etc. are missing. Looking further, the EU-GDPR already puts Europe at the forefront of data protection. As awareness for data protection rises globally, new laws and regulation concerning the protection of private data and data transfer could set another valuable impulse for the development of new techological solutions not only (to be used) within the European single market but also to be exported internationally. So, it is not only about a Single Digital European Market, it also is about the cyber security as an economic actor and about arising global opportunities.

Lastly, we want to put social issues into focus. It might be worth considering the potential for increased awareness and possible understanding of IT security issues by new laws and regulations concerning the protection of private data and data transfer. The more politics, industry and press discuss these issues, the more they are put into focus of a broad public base. This increased interest might lead to a better understanding and, eventually, get people to make sound decisions when purchasing smart devices.

Summarizing we recommend to enhance your analysis by the following:

- Likely economic impacts concering the cyber security industry as economic actors
- Likely social impacts: investigations regarding increased awareness for IT security issues within the public