Business-Kommunikation ist heute schneller und direkter. Diesen Vorteilen stehen jedoch erhebliche Sicherheitsrisiken gegenüber.
Herr Marti, inwieweit können wir unseren Kommunikationsmitteln heute generell trauen?
Die Diskussion über die Verwendung chinesischer Technologien beim Aufbau des 5G-Mobilfunknetzes zeigt, dass das in der Tat eine wichtige Frage ist. Bei der digitalen Kommunikation müssen wir ganz bewusst nach der Souveränität des Einzelnen fragen: Bestimme ich wirklich selbst, wem ich Informationen preisgebe?
In der Geschäftswelt hat die Antwort darauf weitreichende Folgen: Die digitale Kommunikation führt vor allem in Kombination mit neuen, flexiblen Arbeitsmodellen dazu, dass jedes Geschäftsgeheimnis vermutlich digital geteilt wird. Wenn dann Staaten wie China oder die USA nachweislich bemüht sind, entsprechende Daten zu sammeln und sich so einen Vorteil im internationalen Wettbewerb zu verschaffen, dann muss man seine Kommunikationsmittel einer genauen Kontrolle unterziehen. Zudem ist die unverschlüsselte E-Mail – die in etwa so vertraulich ist wie eine Postkarte – de-facto immer noch der Standard in der geschäftlichen Kommunikation. Ihr ist definitiv nicht zu trauen.
Wie gehen Unternehmen mit diesen Herausforderungen um? Wie ist Ihr Erfahrungswert hier?
Diese Probleme werden von Unternehmen jeder Größe immer noch ignoriert. Gehen Unternehmen sie jedoch an, offenbart sich erst, wie tief die unsichere Kommunikation in der Organisation verwurzelt ist. Erschwerend kommt das Thema „Bring your own device“ (BYOD) hinzu. Dadurch verschwimmen die Grenzen zwischen privater und geschäftlicher Kommunikation. Unternehmen verlieren so schnell die Hoheit über geschäftlich ausgetauschte Daten, denn die private Kommunikation ist für den Arbeitgeber tabu. Die Lösungen sind in der Regel jedoch unpopulär und fördern nicht immer die Produktivität. Deshalb werden sie oft de-priorisiert. Dass die EU-DSGVO bereits vor einem Jahr in Kraft getreten ist, ändert daran nicht viel – trotz der empfindlichen Strafen.
Datenschutz wird auch im Kontext des digitalen Kommunikationsverhaltens immer wichtiger. Sind Unternehmen und Mitarbeiter hier ausreichend sensibilisiert?
Unsere „@work“-Studie“ zeigt, dass Mitarbeiter selbst dann WhatsApp auf ihrem Geschäftshandy installieren, wenn ihnen die datenschutzrechtlichen Probleme, die für den Arbeitgeber entstehen, bekannt sind. Das zeigt: Der durchschnittliche Nutzer kennt die Regeln zu Datenschutz und -sicherheit zwar, versteht jedoch meist nicht das konkrete Risiko, das damit einhergeht. Dass heutzutage Daten en masse gesammelt und automatisiert analysiert werden, können sich viele gar nicht vorstellen. Sie haben immer noch eine einzelne Person vor Augen, die sich durch die Nachrichten klickt.
Auf Seite der Unternehmen findet immerhin langsam ein Umdenken statt. Sie haben teilweise schmerzhaft erkannt, dass die Gefahr sehr real ist. Eine Bitkom-Studie hat beispielsweise ergeben, dass jedes zweite deutsche Unternehmen in den Jahren 2016 und 2017 Opfer von Cyber-Attacken wurde. Bei 41 Prozent der Vorfälle wurden Kommunikationsdaten gestohlen.
WhatsApp, Google Drive, Dropbox oder Skype – wie sicher oder unsicher sind solche Lösungen?
Das kommt auf die Perspektive an. Das amerikanische Datenschutzrecht, dem diese Dienste unterliegen, ist nicht mit dem EU-Recht vereinbar. Firmen, die in den USA ansässig sind, müssen den dortigen Geheimdiensten per Gesetz Zugang zu ihren Kundendaten gewähren. Der sogenannte CLOUD Act verpflichtet amerikanische Internet-Firmen und IT-Dienstleister darüber hinaus, US-Behörden auch den Zugriff auf Daten zu gewährleisten, die sich auf Servern im Ausland befinden, also auch in der EU. Das widerspricht den Grundsätzen unserer DSGVO.
Zusätzlich zu der rechtlichen Problematik muss sich jedes Unternehmen mit Sitz in einem EU-Mitgliedsstaat überlegen, ob es verantworten kann, dass die Informationen, die über entsprechende Plattformen geteilt werden, in den Händen der US-amerikanischen Geheimdienste landen. Spätestens seit der „America First“-Politik der Trump-Regierung sollte einem bei diesem Gedanken leicht unwohl werden. Die Snowden-Enthüllungen deckten immerhin auch NSA-Programme zur gezielten digitalen Wirtschaftsspionage auf.
Mit welchen neuen Anforderung sehen sich Unternehmen in Bezug auf die Datensicherheit heute konfrontiert?
Hier stehen natürlich die rechtlichen Anforderungen hinsichtlich der EU-Datenschutzgrundverordnung an erster Stelle. Darüber hinaus werden Schwachstellen in Cloud-Infrastrukturen ein immer beliebteres Angriffsziel für Hacker. Unserer Überzeugung nach ist Verschlüsselung in diesem Kontext der effektivste Weg, die Datenhoheit sicherzustellen. Der Zugang zu Informationen ist so nämlich denjenigen vorbehalten, die den Schlüssel besitzen.
Überhaupt sollte die Verschlüsselung sensibler Daten einen hohen Stellenwert in Unternehmen einnehmen. Malware wird beispielsweise häufig auf Smartphones, Tablets und Routern getestet. Da die privaten Geräte jedoch mittlerweile auch oft im Firmennetzwerk verwendet werden, stellen sie ebenfalls eine Gefahr für den betrieblichen Datenschutz dar.
Worauf sollten Unternehmen bei der Wahl einer Kommunikationslösung achten?
Wie erwähnt ist eine starke Verschlüsselung wärmstens zu empfehlen. Dabei sollten Unternehmen unbedingt darauf achten, dass der Anbieter einer Lösung auch von den ausgetauschten Inhalten, also inbesondere, den in der Verschlüsselung verwendeten Schlüsseln komplett abgeschirmt ist. Nur so hängt die Vertraulichkeit der Kommunikation nicht von den Sicherheitsvorkehrungen des Anbieters ab: Wird dieser kompromittiert, sind nur verschlüsselte Daten zu erbeuten. Darüber hinaus empfehlen wir, auf Anbieter aus der EU, besser noch aus Deutschland, zu setzen. Wenn der Anbieter der Lösung derselben Rechtsprechung unterliegt wie man selbst, macht das den Weg zur Rechtsicherheit einfacher.
„Die digitale Kommunikation führt vor allem in Kombination mit neuen, flexiblen Arbeitsmodellen dazu, dass jedes Geschäftsgeheimnis vermutlich digital geteilt wird,“ erläutert Fabio Marti.
Was können Unternehmen tun, um ihre Daten möglichst gut zu schützen?
Viele Unternehmen haben bereits die Entwicklungen der letzten Jahre in ihre Sicherheitsstrategie integriert. Dennoch raten wir Unternehmen, sich insbesondere einem der Haupteinfallstore für Cyberangriffe zu widmen: der digitalen Kommunikation. Dabei ist es nicht nötig, Dinge von heute auf morgen grundlegend zu ändern. Es reicht erst einmal, den Stein ins Rollen zu bringen. Bietet man Mitarbeitern beispielsweise eine einfach zu bedienende Alternative zu WhatsApp, kann man die WhatsApp-Schatten-IT vielleicht nicht komplett verhindern, aber deren Nutzung und damit das Gesamtrisiko deutlich schmälern.
Und so ist es auch mit der E-Mail: Man wird sie nicht von heute auf morgen abschaffen. Das sollte auch gar nicht der Anspruch sein. Doch wenn Unternehmen schon heute einen sicheren Firmen-Messenger einführen, können sie den internen E-Mail-Verkehr im nächsten Jahr vielleicht schon um 80 Prozent reduzieren – und damit auch die Angriffsfläche für Hacks. Und zuletzt können wir nur wieder betonen, dass Verschlüsselung in der heutigen, weitestgehend cloud-basierten, Welt ein probates Mittel ist, die Kontrolle über seine Daten zu behalten, egal wo sie sich befinden.
Wie unterstützen Sie Unternehmen hier?
Wir selbst arbeiten natürlich nach den Leitlinien, die ich hier erläutert habe. So bieten wir Unternehmen einen vollverschlüsselten Messaging-Dienst aus Europa, bei dem Anwenderkreis und Nutzung komplett vom Unternehmen über ein Verwaltungstool kontrolliert werden können. Der Dienst ist made and hosted in Germany und kann daher in vollem Einklang mit den Vorgaben der EU-DSGVO eingesetzt werden. Wir haben dabei ganz bewusst nicht versucht, das Rad neu zu erfinden, sondern uns gezielt an den Bedienkonzepten orientiert, die Nutzer aus dem privaten Umfeld kennen. So können wir die Akzeptanzhürde für die Nutzer sehr niedrig halten, um der Schatten-IT wirksam entgegen zu wirken.
Schließlich nutzen Mitarbeiter WhatsApp am Arbeitsplatz ja nicht aus Bosheit, sondern weil sie produktiv sein wollen. Mit unserer Lösung können sie das, ohne dem Arbeitgeber Kompromisse bei Datenschutz und -sicherheit abzuverlangen.
Unser Interviewpartner
Fabio Marti ist Director Marketing B2B und Director Business Development bei der Brabbler AG in München, einem Spezialisten für vertrauliche digitale Kommunikation. Unter dem Namen „ginlo“ entwickelt das Unternehmen eine Kommunikationsplattform, die Privatsphäre für Privatpersonen und Vertraulichkeit für Unternehmen sicherstellt.s
Weitere Informationen:
www.brabbler.ag/
www.ginlo.net/
Aufmacherbild / Quelle / Lizenz