IT-Sicherheit & Datenschutz Nachhaltigkeit in der Digitalisierung
Dieser Tage hört und liest man allerorts den Satz: „We‘re in this together“. Dieser Satz appelliert an die Bevölkerung, sich risikomindernd zu verhalten. Hier ist das Leben gemeint, das wir zu Hause, im Büro, auf der Straße, in der Öffentlichkeit führen. Wir sollen vermeiden, uns selbst und auch andere zu gefährden, uns und andere nicht mit dem Virus anzustecken, verantwortungsbewusst handeln und mit daran arbeiten, dass das Gesundheitssystem nicht kollabiert.
Uns Digitalisierungsexperten würde dieser Satz lange schon auch aus der Seele sprechen, wenn er explizit auch das Leben im Virtuellen meinen würde, das inzwischen ebenfalls allgegenwärtig ist. Wir führen den größten Teil unserer Korrespondenz inzwischen per Email, auf Sozialen Medien oder über das Smartphone auf verschiedenen Messengern. Das öffentliche Leben, das Arbeitsleben und auch ein erheblicher Teil des Privatlebens spielen sich heute digital ab. Warum hier also nicht auch um Sicherheit bemüht sein? Ist die Bedrohung durch Identitätsdiebstahl, Informationsdiebstahl, Manipulation und Stalking wirklich so viel abstrakter als ein Virus, das wütet, ohne dass wir ihn mit unseren Sinneswahrnehmungen kommen sehen?
Was ist eigentlich das Problem?
Wir haben in Deutschland lange gebraucht, um uns mit den Vorteilen der Digitalisierung anzufreunden: Ein Brief war beispielsweise immer ein bewährtes Mittel, Informationen von A nach B zu bringen. Warum also eine Email schreiben? Wir haben festgestellt: es ist deutlich bequemer, billiger und schneller. Und mit der frei gewordenen Kapazität kann man zudem noch mehr kommunizieren und darum vielleicht sogar mehr oder besseres Geschäft machen. So ist es auch bei allen anderen digitalen Innovationen: sie steigern entweder das Umsatzpotenzial, oder die Effizienz und damit die Profitabilität – oder im besten Fall sogar beides. Diese Erkenntnis hat sich hierzulande mühsam durchgesetzt. Wir können jetzt die Temperaturen in Gebäuden aus der Ferne steuern, wir können auch unabhängig davon, wo wir uns selbst gerade aufhalten, oder welche Zeit am Zielort ist, sehen, wer sich in einem Gebäude aufhält (und wer nicht). Wir können unsere Mieteinnahmen automatisch abrufen, sichten und strukturieren; wir können verstehen, welche Investoren, welche Zulieferer und welche Mieter am besten zu unseren Angeboten passen. Alles automatisch. Alles digital & vernetzt.
Es ist alles zu schön, um wahr zu sein!
Genau so ist es leider. Denn bei all den neuen Möglichkeiten, die die Digitalisierung mit sich bringt, bringt sie eine große Gefahr: sie macht uns sichtbarer, durchlässiger und angreifbarer als vorher. Klar ist: was bequem für uns ist, ist auch bequem für jeden, der gegen uns ist. Wer kann das sein? - Das können Menschen sein, die beauftragt werden, Unternehmensinformationen zu stehlen. Das können schlicht Erpresser sein, die Unternehmensdaten verschlüsseln und gegen ein Lösegeld (vermeintlich) entsperren. Es können Aktivisten sein, die Ihr Geschäftsmodell ideologisch für bekämpfenswert halten. Es können ehemalige Mitarbeiter sein, die nicht freiwillig das Unternehmen verlassen haben und nicht gut auf Sie zu sprechen sind und durch die Veröffentlichung von Daten oder Informationen einen Reputationsschaden oder schlimmeres herbeiführen wollen. Es können sogenannte „Skriptkiddies“ sein, die sich an nicht gesicherten Systemen ausprobieren wollen – einfach, weil es geht (dies hat beispielsweise Sony Schäden in Milliardenhöhe eingebracht). Es können Nachrichtendienste sein, die Informationen generieren wollen. Es können Unternehmen sein, die Sie selbst, vielleicht aber auch ein anderes mit Ihnen durch Kunden- oder Zulieferverträge in Verbindung stehendes Unternehmen angreifen wollen – und den Zugang zu dem Zielunternehmen über das schwächstmögliche Verbindungsglied suchen. Es können aber auch schlicht die großen Datenkonzerne sein, die ihr Geld damit verdienen, große Datenmengen zu akkumulieren, zusammenzuführen, aufzubereiten und die Erkenntnisse über Menschen und Geschäfte an den Meistbietenden weiterverkaufen, wie zum Beispiel Facebook, Google, NetFlix, Amazon und dergleichen.
Kurzum: Unternehmen sollen sich digitalisieren und die Vorteile der Digitalisierung für sich nutzen. Aber bitte von Anfang an richtig! Bitte unter Einbeziehung der IT-Sicherheit, um sensible Informationen von Unternehmen, Geschäften und vor allem von Menschen zu schützen. Es gibt sehr viele Maßnahmen, die unmittelbar greifen; seien es sichere Cloudprodukte, sichere Rechenzentren, 2FA-Mechanismen, VPN für alle Mitarbeiter, Sensibilisierungstrainings, und, und, und. Man sollte nicht erst an Sicherheit denken, nachdem Geschäftsprozesse und Produkte digitalisiert sind; nachhaltiger, gewissenhafter und günstiger ist es, von Anfang an die Sicherheit in die Konzeption einzubeziehen. Wenn ein Vorfall stattfindet, ist der Schaden meist groß für alle Beteiligten.
Die Herausforderung unserer Zeit besteht darin zu erkennen, dass Datensicherheit und Datenschutz nicht von alleine passieren – oder dass viele Menschen, denen Vertraulichkeit im Geschäftlichen wie im Privaten an sich wichtig ist, noch immer sagen, sie hätten nichts zu verbergen. Wenn meine Mitarbeiter sagen würden, sie hätten nichts zu verbergen, dann würde ich annehmen müssen, dass damit auch die Geschäftsgeheimnisse gemeint sind, zu deren Vertraulichkeit sie verpflichtet sind. Das würde große Sorge in mir hervorrufen, denn so wie bei Corona wird klar: Sicher ist entweder jeder, oder niemand – so sehr gilt es auch für unsere digitale Interaktion. Der Umgang mit Daten und Informationen ist ganz und gar keine Einzelentscheidung: So sehr sich u.a. das Datenschutzgesetz – das Datensicherheit in Artikel 32 („Technische und Organisationale Maßnahmen“) mit einbezieht, auch bemüht, die Entscheidung über die Herausgabe personenbezogener Daten bei demjenigen zu belassen, dem die Daten gehören: klar ist, dass der Nutzer von digitaler Infrastruktur: von Websites, Apps, Smartphones, Bestellsystemen, Ticketsystemen, etc. davon abhängig bleibt, wie gewissenhaft der Hersteller oder Anbieter dafür sorgt, dass die Daten nicht weitergegeben oder kompromittiert werden.
Jeder, der eine App erstellt, ist in der Verantwortung, die Inhalte der App bei Eingabe, Verarbeitung und in der Speicherung zu prüfen und zu schützen. Jeder, der eine Website erstellt, sollte dasselbe tun. Jeder, dem Menschen ihre Informationen anvertrauen, muss die Mitmenschen davor schützen, dass ihre Daten anderswo akkumuliert und zweckentfremdet werden. Wir alle produzieren Daten und Informationen – und zwar nicht nur über uns selbst, sondern auch Informationen über unsere Arbeit, über unser Unternehmen, über unsere Kollegen – aber auch über unsere Lieben, deren Fotos, Emails, Telefonnummern, Geburtsdaten, etc. wir in unseren Handys gespeichert haben. Die Wahrheit ist: wir können alle immer nur so sicher sein, wie derjenige unter unseren Freunden und Kontakten, dem Datenschutz und Datensicherheit am wenigsten bedeutet.
Ein Beispiel: ich selbst kann mich nicht entscheiden, Whatsapp (und damit Facebook) meine Daten nicht zu überlassen, wenn auch nur ein Mensch, der meine Daten auf seinem Telefon hat, Whatsapp auf seinem Smartphone hat. Whatsapp und Facebook, die meine Daten zudem in den USA auswerten, wo Daten nahezu keinen Schutzstatus haben, wissen also durch andere, wie ich heiße, wo ich wohne, welche Mailadressen ich habe, wann ich Geburtstag habe, wie meine Kommunikationsgewohnheiten sind, wie ich aussehe, welchen gesundheitlichen Risiken ich folglich ausgesetzt sein könnte, etc. - ohne dass ich irgendwas davon erlaubt hätte. Mein Risiko besteht dann darin, dass Facebook alle Informationen über mich aus unterschiedlichen Quellen zusammenführt und verkauft. Dies ist beispielsweise mit Millionen von Nutzern in den USA passiert, für die die Kampagnenleiter des heutigen Präsidenten Donald Trump sehr viel Geld bezahlt haben. Die Daten wurden verwendet, um gezielte Desinformationskampagnen zu lancieren – auf jedes Individuum abgestimmt – die die Nutzer glauben machten, der einzig richtige Weg sei, diesen Präsidenten zu wählen. Und genauso können solche Daten auch gegen Ihr Unternehmen verwendet werden. Und dies ist nur ein sehr kleines Beispiel, wenngleich mit riesigem Effekt auf die gesamte Welt. Man neigt dazu zu denken, das sei alles weit weg und beträfe einen nicht. Das ist ein Irrglaube. Im Digitalen hängt eben alles mit allem zusammen. Natürlich ist ein akuter Identitätsdiebstahl oder die Veröffentlichung privatester Bilder oder vertraulichster Unternehmensinformationen unmittelbar spürbarer. Aber so wie jeder Mitarbeiter ein Risiko für die Sicherheit des Unternehmens bildet – und umgekehrt auch jeder Mitarbeiter höchst relevant für den Schutz des Unternehmens ist – so ist jedes Unternehmen, jede Organisation, jede Institution – und schließlich auch jedes Individuum relevant für die Gesamtsicherheit aller Länder, Märkte und Menschen. Und nur mit einem konsequenten Fokus auf Sicherheit bei digitalen Vorhaben, sowohl für die IT als auch die Daten, kann in all diesen Bereichen Nachhaltigkeit geschaffen werden, ganz im genossenschaftlichen Sinn.
Caroline Krohn ist Managerin und Unternehmerin. Sie ist die Inhaberin der Wirtschaftsdiplomaten Krohn & Partner und Geschäftsführende Gesellschafterin der Vindler GmbH und der VITA – Vindler ITalents Academy GmbH sowie Co-Gründerin des European Institute für Privacy & Security in Luxemburg und damit Co-Initiatorin der Europäischen Datenschutzkonferenz #GDPR+X.
