Monique Morrow über Cyber Security und digitale Identitäten

Digitale Vorreiter

Digitale Vorreiter

Datum 12.04.2021
Lesezeit 7 Min.

Monique Morrow über Cyber Security und digitale Identitäten

Monique Morrow kommt schon in den 1980er Jahren ins Silicon Valley. Eigentlich will sie Diplomatin werden, studiert an der Sorbonne und an der San José State University Französisch, Geografie und Europäische Geschichte. Ihre eigene Neugier macht ihr einen Strich durch die Rechnung, als sie den Aufschwung im Silicon Valley mitbekommt: „Oh mein Gott, da muss ich dabei sein!“. Heute beschäftigt sie sich mit digitalen Identitäten und Cyber Security und glaubt, dass verlorenes Vertrauen in die Online-Sicherheit nur gemeinsam mit den Kunden zurückgewonnen werden kann.

Monique Morrows Karriere ist von Wendepunkten geprägt: Sie fängt als Netzwerktechnikerin bei AMD an, erlangt im Silicon Valley diverse IT-Zertifikate, erwirbt einen Master in Digitale Währungen. Dann der Wechsel zu Cisco, dort wird sie Chief Technology Officer. Aus ihrer Zeit im Silicon Valley hält sie 14 US-amerikanische und internationale Patente, alle im Zusammenhang mit Digitalisierung, Netzwerk, Internet of Things, Cybersecurity und dem sicheren Umgang mit Daten. Sie erhält 26 internationale Auszeichnungen, unter anderem den Global Citizen Award und den Business Worldwide Magazine Award. Forbes zählt sie zu den wichtigsten 50 Frauen im Tech-Sektor.

Nach 17 Jahren geht sie, weil ihr der Job bei Cisco „zu gemütlich wurde“. Heute lebt die Wahl-Schweizerin in Zürich, arbeitet als Senior Distinguished Architect in Emerging Technologies bei Syniverse. Außerdem ist sie Vorsitzende und Mitgründerin bei The Humanized Internet, einer gemeinnützigen Gesellschaft mit Sitz in der Schweiz und Fokus auf digitaler Identität sowie Ethikfragen im Technologiesektor. The Humanized Internet setzt sich unter anderem dafür ein, den mehr als eine Milliarde Menschen, die nicht beweisen können, wer sie sind, eine „unzerstörbare” Identität zu geben.

Aus „da muss ich dabei sein“ ist eine Vision geworden: Technologie an den Bedürfnissen der Gesellschaft auszurichten. Wir haben mit ihr gesprochen.

 

Vodafone mobile Security

Vodafone mobile Security

Ransomware, Phishing, Smishing oder APT-Angriffe: Die möglichen Bedrohungen im IT-Umfeld sind sowohl was mobile als auch stationäre Geräte angeht, nicht zu unterschätzen.

Unser vierteljährlich erscheinendes eBook „Cyber Insights” liefert Ihnen alle neuesten Erkenntnisse und Innovationen zum Thema mobile Sicherheit.

Jetzt downloaden

 

Frau Morrow, Technologie und speziell die IT-Szene im Silicon Valley waren in den 1980er Jahren von Männern dominiert. Wie konnten Sie dort Fuß fassen und sich sogar bis an die Spitze eines der renommiertesten IT-Unternehmen der Welt arbeiten? 

Was Sie sagen, stimmt – und bis zu einem gewissen Grad ist das Thema Männerdominanz auch heute noch aktuell. Ich begann meine Karriere als Netzwerkingeneurin bei AMD und entwickelte eine ziemliche Neugier, was verteilte Netzwerksysteme und das Internet insgesamt angeht. Überhaupt ist meine Karriere von Wendepunkten geprägt. Zur damaligen Zeit war Cisco lediglich eines von vielen Start-ups aus Menlo Park in Kalifornien. Ich war allerdings davon überzeugt, dass Multiprotokoll-Routing schon in absehbarer Zeit das Thema Netzwerktechnologie stark beeinflussen würde – und Cisco schien in der Lage zu sein, das abzubilden.

Ein zentraler Aspekt bei all diesen Dingen ist eigentlich immer das richtige Timing. Der erwähnte Schwenk war zu diesem Zeitpunkt sowohl aus technischer als auch aus geschäftlicher Sicht fällig. Schon während meiner Zeit bei AMD habe ich mit Cisco zusammengearbeitet, um diese neue Technologie zu testen und besser zu begreifen. Darüber hinaus hatte ich sehr starke (männliche) Mentoren, die mich angespornt haben, noch mehr zu erreichen.

 

Was hat Sie bei Cisco besonders geprägt?

Cisco verschaffte mir die Möglichkeit, sämtliche Aspekte des dortigen Betriebsablaufs kennen zu lernen – von der Forschung bis hin zum Marketing und zu den Dienstleistungen. Ein wesentlicher Grundsatz war dabei immer die Entwicklung von Projekten gemeinsam mit Kunden und Partnern. Gemeint ist hierbei, Wege hin zu Lösungen wirklich gemeinsam zu gehen und vielmehr eine strategische, als eine rein geschäftliche Beziehung zu pflegen. Auch in meiner aktuellen Rolle bei Syniverse als leitende Entwicklerin für Zukunftstechnologien ist das von großer Bedeutung.

 

Nach 17 Jahren wurde es Ihnen bei Cisco zu „gemütlich“. Was genau hat Sie veranlasst, Cisco zu verlassen?

Wie oben bereits angedeutet, war letztlich auch hier vor allem das Timing entscheidend. Im Nachhinein betrachtet war es genau richtig, zu diesem Zeitpunkt tiefer in das Thema Gemeinnützigkeit und das Start-up-Umfeld einzusteigen. Während dieser Zeit habe ich mich dem Studium der Blockchain-Technologie gewidmet und 2019 meinen Master-Abschluss erworben. Jemand aus der Unterhaltungsbranche sagte einmal zu mir: „Wenn Du nicht Dein eigenes Drehbuch schreibst, wird es jemand anderes für Dich tun – und ob es Dir dann gefällt, weißt Du nicht.” Also verließ ich Cisco, um mein eigenes „Drehbuch” zu schreiben, was ich bis heute überaus inspirierend finde. Cisco ist als Unternehmen wirklich großartig und ich bin dankbar für die vielen Möglichkeiten, die ich während meiner Zeit dort hatte. Jetzt bin ich bei Syniverse, was vor allem aufregend ist und verfolge mein Engagement bei „The Humanized Internet” konsequent weiter.

 

Video: YouTube / Collision Conference

 

Wie sind Sie auf die Idee einer „unzerstörbaren Identität” für alle Menschen gekommen? Was treibt Sie an und was steckt dahinter? 

Das Thema Identität ist sowohl kulturell, als auch kontextbezogen sehr komplex. Wir alle haben ja letztlich verschiedene Identitäten. Ein Schwerpunkt meiner Arbeit ist jedoch vor allem der Verlust von Identität und Nationalität des Einzelnen, häufig ausgelöst durch Migrationsumstände oder Naturkatastrophen jenseits ihres Einflussbereichs. Eine selbstbestimmte Identität (SSI, Self Sovereign Identity; Anmerkung der Redaktion) soll dafür sorgen, dass jeder die Kontrolle über diese Daten behält. Dieses sogenannte SSI-Prinzip soll darüber hinaus die Grundlage für Dienstleistungen und Geschäftsmodelle schaffen, die über staatliche Grenzen hinausgehen.

Ein Kernziel von SSI ist es, dem Einzelnen die Kontrolle über seine oder ihre Daten unabhängig von Staatsangehörigkeit, Wohnort oder Beruf zu geben. Zuallererst aber soll ermöglicht werden, das Herkunftsland einer Person zweifelsfrei zu bestimmen.

Gelingt dies nicht, greift sonst allzu häufig das Prinzip der Staatenlosigkeit. Das wiederum führt dazu, dass die betreffende Person so gut wie keine Rechte hat, geschweige denn diplomatischen Schutz genießt.

Ein Beispiel für eine solche „Staatenlosigkeit“ ist die Polarität, die durch die Diskussion um den US-amerikanischen Wahlspruch „In God we Trust“ aus den 1950er-Jahren entstanden ist. Hierbei werden inzwischen statt „God“ für „Gott“ je nach gewünschter Identität alle möglichen Begriffe eingesetzt. Ausgelöst wurde das Ganze durch den immer größeren Vertrauensverlust in der Bevölkerung gegenüber etablierten Stellen. Es geht dabei im Kern letztlich um Themen wie Privatsphäre, gefühlten Kontrollverlust, ein fehlendes Sicherheitsgefühl im eigenen Land und natürlich ethische und moralische Grundsätze. Anstatt das Ganze nun als dystopischen Narrativ abzutun, gibt es eben Zukunftstechnologien wie SSI, die es dem Individuum grundsätzlich ermöglichen sollen, seine oder ihre eigene Identität selektiv festzulegen.

Die „Internet of Trust“-Bewegung und das SSI-Prinzip sind dabei nicht länger so etwas wie Gesellschaftsutopien, sondern Teil der Realität. Die Grundannahme lautet, dass jeder Einzelne das Zentrum der eigenen, persönlichen Daten bildet und ein identitäres Universum mit sich trägt, das natürlich das Internet mit einschließt. Konkret nach Möglichkeiten der Umsetzung gefragt, denke ich an eine Art tragbares, digitales Schließfach, das diese Konzepte in sich abbildet. Stellen Sie sich vor, Ihr Haus brennt und Sie müssen schnellstens fliehen – was nehmen Sie als Erstes an sich?

 

Video: YouTube / Chainist

 

Auf welche technischen und gesellschaftlichen Schwierigkeiten stoßen Sie dabei? Welche wiegen schwerer?

Diese Herausforderung ist tatsächlich nicht einfach zu lösen. Sir Tim Berners-Lee, der Begründer des World Wide Web, hat hierzu die Erschaffung von persönlichen Online-Datenspeichern (PODs, Personal Online Data Stores; Anmerkung der Redaktion) vorgeschlagen. Diese sollen es jedem Einzelnen ermöglichen, die eigenen Daten selbstbestimmt zu verwalten.

Demzufolge sind SSI, PODs und tragbare, digitale Schließfächer auf jeden Fall Schritte in die richtige Richtung. Derzeit werden basierend hierauf bereits Dienstleistungen und Produkte entworfen, was sehr vielversprechend ist.

 

Riskieren wir, unsere Menschlichkeit zu verlieren, wenn wir so von Technologie dominiert werden? 

Ich halte es für besonders wichtig, dass der Mensch in solche technologischen Konzepte stets einbezogen wird. In diesem Zusammenhang betone ich auch immer wieder, dass Technologie für sich genommen keine Agenda verfolgt. Allerdings müssen wir in jedem Fall die beabsichtigte Nutzung von Anwendungen und ihr Missbrauchspotenzial im Detail verstehen. Es geht im Kern also um eine ausbalancierte Sichtweise auf die Dinge. Wir alle tragen eine Mitverantwortung dafür, „Technologie zum Guten“ in unserer Unternehmens- und Organisations-DNA zu verankern.

Widerspricht der Schutz der eigenen Daten nicht einer absolut digitalen Identität?

Im Gegenteil: Beide Konzepte überschneiden sich letztlich ideal, da SSI das Individuum in den Mittelpunkt der Betrachtung stellt. Insbesondere kann der Einzelne nach diesem Ansatz ja selektiv immer nur bestimmte Daten preisgeben. Hier müssen wir unsere Denkweise ein wenig hinterfragen. Anstelle von Fragen wie „Wer schützt eigentlich meine persönlichen Daten?“ oder „Wie sieht das Data-Governance-Modell aus?“ oder Benachrichtigungen wie „Es tut uns leid, Ihre Daten sind in die Hände Dritter geraten“ sollten andere Überlegungen im Vordergrund stehen. Im SSI-Modell lässt sich Verantwortlichkeit aktiv übertragen. Vergessen Sie eines nicht: Wir alle besitzen verschiedene Identitäten. Das Thema Berechtigungsnachweise ist dabei eines, das aktuell schon kurzfristige Erfolge verspricht. Organisationen wie das World Wide Web Consortium, oder die Decentralized Identity Foundation stellen schon jetzt Anwendungsszenarien und Lösungsansätze diesbezüglich vor.

Als praktisches Beispiel für eine solche Sichtweise auf Daten ließe sich mein Master-Abschluss in Blockchain-Technologie nicht nur auf herkömmliche Weise über die verleihende Stelle bestätigen, sondern auch via Blockchain und kryptografische Schlüssel nachvollziehen, sollte meine Abschluss-Universität einmal nicht mehr existieren. Selbiges gilt für Arbeitsnachweise und Referenzen für Arbeitnehmer, deren früheres Unternehmen es nicht mehr gibt: Zu all diesen Dingen existiert dann eine digitale Referenz, beispielsweise via Blockchain-Mechanismen. Die Möglichkeiten sind sehr vielfältig und wir befinden uns derzeit quasi an der Schwelle hin zu grundlegenden Verschiebungen in unser aller Denk- und Handlungsweise.

Stichwort Cybersecurity: Wer wird für den Schutz dieser sehr persönlichen Daten verantwortlich sein?

Um es knapp auszudrücken, der Einzelne ist hierfür verantwortlich. Hier beziehe ich mich erneut auf den oben beschriebenen Bedarf an selbstbestimmter Identität, die je nach Situation selektiv preisgegeben werden kann und der Anforderung an Data-Governance-Modelle, die differenzierte Privatsphäre und verteilte Verantwortlichkeit beinhalten. Dieser Bereich entwickelt sich weiter, je mehr unsere Daten sich in siloartig aufgebauten Organisationen verbreiten.

Datensicherheit und Datenschutz gehen hier Hand in Hand. Aus unternehmerischer Sicht müssen bereits am Anfang jeder Anwendungs- oder Lösungsentwicklung ein integrierter Schutz der Privatsphäre in Form von „Privacy by Design“ und „Privacy Engineering“ stehen. Der Modus Operandi ist hier viel mehr als ein bloßer Compliance-Check hinsichtlich der DSGVO, sondern wesentlicher Bestandteil des Entwicklungsprozesses. Kunden dazu zwingen zu wollen, längliche Abhandlungen zur Art „wie ihre Daten verwendet werden“ zu lesen, bevor eine bestimmte Dienstleistung nutzbar ist, klingt in diesem Zusammenhang geradezu obskur.

Was wir brauchen, ist ein einfacher, maschinenlesbarer Ansatz, der den Kunden in den Mittelpunkt dieses Prozesses stellt. Unternehmen müssen beweisen, dass persönliche Identifikationsdaten und deren Metadaten niemals offen zugänglich gemacht werden, nicht Bestandteil von Produkten sind – also monetarisiert werden – und nicht für Rückschlüsse auf Einzelpersonen genutzt werden können. Diese Herausforderungen müssen wir als Branche gemeinsam mit den Kunden angehen und lösen.

 

Video: YouTube / Datenschutz Kompass

 

Von persönlichen Daten zu Unternehmensdaten. Beispiel Internet of Things: Wie können Unternehmen sicher sein, dass ihre Daten sicher sind, wenn sie in einer virtuellen Cloud liegen? Ist es nicht besser, die Unternehmern sichern die Daten auf ihren eigenen Servern, in ihren eigenen Netzen?

Kurz gesagt ist das ein Thema für ein komplettes wirtschaftliches Ökosystem. Was bedeutet überhaupt Vertrauen in Datensicherheit? Stellen Sie sich Verlässlichkeit bezogen auf Funktionalität vielleicht so vor, dass ein Netzwerkausfall vom Kunden künftig gar nicht mehr bemerkt wird, da der Dienst im Hintergrund einfach weiter läuft. Eventuell ist hier ein Hybridansatz sinnvoll, der sowohl Lösungen vor Ort als auch in der Cloud beinhaltet. Wichtig ist dabei vor allem, dass das Data-Governance-Modell korrekt umgesetzt und von allen Beteiligten einschließlich des Kunden in dieser Form akzeptiert wird. Das ist für uns alle eine große Chance.

 

Stichwort Blockchain: Bisher kennen die meisten von uns diese Technologie lediglich im Zusammenhang mit Krypto-Währungen wie dem Bitcoin. Inwieweit können Unternehmen Blockchain für die Sicherung ihrer eigenen Daten, aber auch der Kundendaten nutzen?

Um das zu verstehen, müssen wir zunächst die Verwendung von Blockchain und deren Anwendung in der Praxis betrachten. Persönliche Daten beispielsweise gehören niemals in die Blockchain. So manches Unternehmen hat bereits passende Lösungen im Bereich der Logistik entwickelt. Hier können Warenströme und Ursprungsorte von Produkten sowohl in der Pharmaindustrie, als auch im Lebensmittelbereich und in vielen weiteren Bereichen nachverfolgt werden. Ein weiteres Beispiel für Blockchain-Anwendungen sind Abrechnungssysteme im Großhandel, beispielsweise zwischen Spediteuren oder Lösungsanbietern.

Wenn von „genehmigten“ Blockchains die Rede ist, wird den beteiligten Organisationen ein implizites Vertrauen entgegen gebracht. Zu den „genehmigungsfreien“ Blockchains wiederum gehören Bitcoin und Ethereum. Ich bin davon überzeugt, dass wir uns zu Hybridmodellen hin entwickeln, die dezentralisierte, verteilte Modelle umfassen. Smarte Verträge wenden dann die Geschäftslogik auf die Ausführung dieser Blockchain-Lösungen an.

Insofern ist die Blockchain nicht länger als Hype zu sehen, sondern wird nach und nach von Unternehmen aufgegriffen, um für ihre Kunden Mehrwerte zu schaffen. Das Versprechen der Blockchain gründet sich somit vor allem auf die verteilte Optimierung und Automatisierung von Dienstleistungen. Die Verwendung sogenannter kryptografischer Primitive kann hierbei für zusätzliche Sicherheit sorgen.

 

Video: YouTube / Manuel Stagars

 

Wie kann die Cybersecurity zu einem USP eines Unternehmens werden? Haben es junge Unternehmen dabei leichter als etablierte? Gibt es Ihrer Meinung nach Branchenunterschiede?

Aus meiner Sicht ist die Zeit reif für Data-Governance-Modelle, die nicht auf kryptischen Rechtstexten basieren, die kein Kunde versteht. Es geht darum, die Konzepte wie beispielsweise SSI, Privacy by Design und Privacy Engineering, die ich bereits erwähnt habe, zu integrieren und – was noch wichtiger ist – die Kunden in diese Überlegungen einzubinden. Die Möglichkeit, ein neues Datenschutzmodell durchzusetzen, kann für Unternehmen ein echtes Alleinstellungsmerkmal bedeuten. Ob ein Unternehmen dabei als Start-up agiert oder bereits länger agiert, halte ich dabei für weniger entscheidend, als den Kunden in das Zentrum sämtlicher Überlegungen zum Datenschutz zu stellen.

Übrigens: Während des World Economic Forum Data Policy Council können Sie noch mehr über meine aktuellen unternehmerischen Aktivitäten erfahren.

Wie können Unternehmen in einer global agierenden Welt ihre Datennetze wirkungsvoll schützen? Zu welchen drei Punkten raten Sie Unternehmen bezüglich effektiver Datensicherung?

Gerade für global agierende Unternehmen ist die Welt ja schon heute auch datentechnisch komplett miteinander verwoben. Die drei Kernaspekte, die ich hier sehe, sind:

  1. die Risiken von Datenlecks im gesamten Ökosystem zu verstehen,
  2. die Anwendung von „Privacy by Design“-Prinzipien im gesamten Ökosystem zu forcieren und die Kunden mit einzubeziehen, sowie
  3. eine fortlaufende Bewertung von Risiken und möglichen Cyber-Angriffsflächen vorzunehmen und hierzu passende Mechanismen bereitzuhalten.

 

Mrs Morrow, wir danken Ihnen für das Gespräch.

 

Dieses Interview haben wir in englischer Sprache geführt. Um das Original zu lesen, klicken Sie bitte auf diesen Link zum Interview mit Monique Morrow in englischer Sprache.

 

Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Chat starten Jetzt anrufen

Digitale Vorreiter

Digitalisierung

Innovation

IoT

Sicherheit

Start Up

Veranstaltungen

Vodafone

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail