"Die National Security Agency (NSA), der geheimste aller Geheimdienste", schreibt "Der Spiegel", "lauscht rund um den Erdball und rund um die Uhr - auch in der Bundesrepublik." Besonders gern, berichten Verfassungsschützer dem Nachrichtenmagazin, sammelten US-Dienste "Zahlen und Daten aus der Wirtschaft". Weiß doch jeder? Ja, und zwar schon lange. Die Zitate stammen aus einem Artikel vom 20. Februar 1989 (!), also 25 Jahre, bevor Edward Snowden mit seinen Enthüllungen über die Spionagetätigkeit des US-amerikanischen Auslandsgeheimdienstes NSA für Aufsehen und Verwerfungen sorgte.
Sind private Informationen eigentlich privat? Ist die Cloud noch sicher? Ist Datenschutz angesichts der flächendeckenden Abhöraktionen überhaupt noch möglich? Das Internet, dessen sich die NSA anstelle des 1989 durchgängig verwendeten Telefons mittlerweile bedient, ist ins Gerede gekommen.
Die Wette - Schneider ist zuversichtlich
"Ich wette, dass sich Datenschutz und Datensicherheit zum größten Wettbewerbsvorteil für Unternehmen entwickeln werden." Ralf Schneider im CIO-Jahrbuch 2014 Das deutsche und europäische Datenschutzgesetz mit seinen dichten Vorschriften und strengen Regularien wird von Unternehmen oft als Standortnachteil wahrgenommen. Viele fordern einheitliche Standards auch außerhalb der EU: Sie fühlen sich durch deutlich schwächere Regulierungen, die ihre Wettbewerber in anderen Ländern betreffen, benachteiligt. Eine Auswertung und Verknüpfung personenbezogener Daten wie persönlicher Präferenzen oder vergangener Entscheidungen mit Daten über das Kollektiv können individualisierte, zugeschnittene Dienstleistungen ermöglichen. Davon profitieren sowohl der Kunde als auch das Unternehmen. Für den Kunden bedeutet es oft mehr Komfort und bessere Angebote. Für das Unternehmen werden Produktplanung, -entwicklung und -bepreisung einfacher, da es wesentlich leichter ist, den Marktbedarf zu ermitteln und die Zielgruppen zum richtigen Zeitpunkt anzusprechen. Und auch unternehmensintern ergeben sich Vorteile - so vereinfacht zum Beispiel die Zusammenarbeit mit Cloud-Providern zum Vorhalten der teilweise umfangreichen Datenbasis so manchen internen Prozess. Beispielsweise baut die Allianz eine private Hochleistungsversicherungs-Cloud für Endkunden, Vertreter, Makler und sonstige Geschäftspartner auf, die sämtliche kritischen Daten und Anwendungen auch in Zukunft unabhängig von externen Dienstleistern unter eigener Kontrolle vorhält. Dies beinhaltet die Konsolidierung von bislang dezentralen Rechenzentren, den Ausbau eines globalen Hochgeschwindigkeitsnetzwerks sowie die Virtualisierung aller wichtigen Anwendungen. |
NSA-Affäre trübt Blick in die Cloud
"Der Trend zum Cloud Computing ist ungebrochen", sagte Ende Januar Bitkom-Präsident Dieter Kempf bei der Vorstellung des "Cloud-Monitors 2014". "Aber die NSA-Affäre hat dem Wachstum einen Dämpfer versetzt." Der Umfrage des Branchenverbandes zufolge haben 13 Prozent der Unternehmen konkret geplante Cloud-Projekte zurückgestellt und elf Prozent sogar bestehende Cloud-Lösungen aufgegeben. Wie schon in den Jahren zuvor, ist die Sorge vor einem unberechtigten Zugriff auf sensible Daten die größte Hürde für Unternehmen aus Deutschland auf dem Weg in die Cloud. Mit Blick auf die NSA-Affäre sagen 49 Prozent der Unternehmen, dass ihre Einstellung zur Public Cloud negativer geworden ist. Gegenüber der Private Cloud äußern sich 44 Prozent der Unternehmen negativ. "Die NSA-Affäre hat ihre Spuren hinterlassen, aber der Einsatz von Cloud-Lösungen in den Unternehmen wächst weiter", so Kempf.
Bundesdeutsche Sicherheitsbehörden haben auf die Enthüllungen von Edward Snowden reagiert: Bereits im Juli 2013, also unmittelbar nach den Veröffentlichungen, verkündeten die Datenschutzbeauftragten der Bundesländer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sogenannte Drittstaaten außerhalb des Europäischen Wirtschaftsraums zu erteilen. Und Anfang dieses Jahres hat das EU-Parlament die Aufhebung des Safe-Harbor-Abkommens mit den USA verlangt. Das Abkommen regelt den EU-konformen Umgang mit sensiblen Daten bei US-amerikanischen Unternehmen.
Wie groß also ist der Schaden, den die NSA mit ihren Abhör- und Ausspäh-Aktionen angerichtet hat? Leidet die Cloud dauerhaft darunter, obwohl sie doch in den kommenden Jahren für einen Paradigmenwechsel sorgen sollte, bei dem die IT-Verantwortlichen sich weniger um die Infrastruktur kümmern sollen als um den Beitrag zum Geschäftserfolg der IT? Und ist Big Data, das Auswerten der riesigen Datenmengen im Internet, schon am Ende, noch bevor sich diese Technik flächendeckend durchgesetzt hat?
Affäre mit (positiven) Folgen
Alles halb so wild, meinen Experten unterschiedlicher Herkunft. Der CIO der Allianz-Gruppe, Ralf Schneider, nahm den NSA-Skandal als Ausgangspunkt einer Wette: "Ich wette", so Schneider im CIO-Jahrbuch 2014, "dass sich bis 2020 Datenschutz und Datensicherheit zum größten Wettbewerbsvorteil für Unternehmen entwickeln werden." Unter Umständen, so Schneider, helfe PRISM, das Überwachungsprogramm der NSA, dem Standort Deutschland.
Oft würden deutsche und europäische Datenschutzgesetze mit ihren dichten Vorschriften und strengen Regularien von Unternehmen als Standortnachteil wahrgenommen, schreibt der Allianz-CIO im Jahrbuch. Das führe bei manchem zu gefühlter Benachteiligung angesichts deutlich schwächerer Regulierungen bei den Wettbewerbern in anderen Ländern. Genau das aber sei die Chance für bundesdeutsche Unternehmen, meint Schneider: "Unternehmen mit hohen Sicherheitsstandards sowie zuverlässigem und vertrauensvollem Umgang mit Kundendaten können daraus Vorteile gegenüber anderen Unternehmen generieren." Datenschutz werde in Zeiten gesunkenen Vertrauens also nicht länger Einschränkung, sondern Chance sein, die sowohl globale als auch nationale Unternehmen ergreifen sollten.
Kempf: Cloud ist Teil der Lösung
Ähnlich argumentiert auch Bitkom-Präsident Kempf: "Cloud-Services sind Teil der Lösung, wenn es darum geht, Unternehmen besser vor Geheimdiensten und Cyber-Kriminellen zu schützen." Und René Büst, Senior Analyst bei Crisp Research, ist sich sicher: "Europäischen und deutschen Cloud-Computing-Anbietern spielt dieser Skandal in die Karten und wird dafür sorgen, dass der europäische Cloud-Computing-Markt in Zukunft stärker wachsen wird als vorhergesagt."
Alles also halb so wild? Fakt ist, dass der US-amerikanische Auslandsgeheimdienst NSA flächendeckend den Telefon- und Internetverkehr mithört. Amerikanische Unternehmen wie Google, Facebook oder Microsoft helfen den Ausspähern dabei - ob ungewollt oder bewusst im Rahmen gesetzlicher Regelungen wie des Patriot Acts ist unklar und hier ohne Belang.
"Unternehmen müssen generell und immer mit Wirtschaftsspionage rechnen", meint Matthias Zacher, Senior Consultant bei IDC. Den mutmaßlichen Schaden durch Wissens- oder Datendiebstahl beziffert der Bundesverband der Deutschen Industrie (BDI) auf immerhin rund 50 Milliarden Euro jährlich. Allerdings weist der BDI darauf hin, dass dahinter nicht nur der NSA, sondern weitere "befreundete" Geheimdienste etwa aus Frankreich und Großbritannien sowie weniger freundliche aus Russland oder China steckten. Zum Vertrauensverlust in moderne Technologien wie Cloud Computing oder Big Data kommen damit also auch handfeste materielle Schäden. "Nachrichtendienste betreiben ein Ausmaß der Aufklärung, das wir erst begreifen müssen", warnt BDI-Geschäftsführer Markus Kerber in der "Süddeutschen Zeitung". "Die NSA-Affäre war der Sputnik-Schock für die deutsche Wirtschaft."
Und so wie der Sputnik-Schock Ende der 1950er-Jahre die USA nicht nur auf den Mond brachte, sondern unter anderem auch zur Gründung des Internet-Vorläufers ARPANET führte, könnte der NSA-Skandal nun wiederum für positive Effekte sorgen.
Analyse statt Hysterie
Zum einen wird eine ernsthafte Beschäftigung mit möglicher Wirtschaftsspionage durch NSA und andere dazu führen, die Hysterie aus dem Thema zu nehmen und den Blick auf die eigentlichen Bedrohungen zu schärfen. "Das Hauptinteresse der NSA gilt weniger den Enterprise-Diensten wie Office 365 oder Salesforce", meint der Analyst Martin Kuppinger im Gespräch mit dem CIO-Magazin. "Im Fokus stehen eher Consumer-Angebote wie Google, Facebook oder Skype." Zum anderen gebe es einen Unterschied zwischen den Aussagen "Die NSA kann potenziell alles entschlüsseln" und "Die NSA entschlüsselt alles". Auch wenn Ersteres stimmt, bedeute das noch nicht, dass die NSA flächendeckend alle Unternehmen komplett abhören würde, so Kuppinger. IDC-Analyst Matthias Zacher ergänzt diese These: "Wenn der NSA eine Datei wichtig genug erscheint, wird sie diese entschlüsseln. Für die allermeisten der Dateien in der Cloud gilt das aber sicher nicht, weil der Aufwand viel zu groß sein dürfte. Es geht also letztlich um die Abwehr konkreter Angriffsszenarien, nicht um die Angst vor diffusen, wie auch immer gearteten Spionageaktivitäten."
Bessere Abwehr gegen das Abhören ist möglich - da sind sich die Experten einig, obwohl oder gerade weil die Abwehrmöglichkeiten in den Unternehmen oft viel zu selten genutzt werden. Sicherheit ist oft genug ein Stiefkind, das meistens als Erstes verstoßen wird, wenn die IT nach ihrem Beitrag zu Unternehmenserfolg und -effizienz gefragt wird.
So ist es zum Beispiel durchaus möglich, die wirklich wichtigen Daten eines Unternehmens über Verschlüsselung bei Übertragung und Ablage vor allzu einfachem Zugriff von außen zu schützen. Oder es ist sinnvoll, auf die Übertragung solcher Daten an Empfänger in der Cloud gleich ganz zu verzichten. "Die Unternehmen wissen durchaus um den Wert ihres Know-hows", meint IDC-Analyst Zacher. "Sie wissen, wo die Mitbewerber sitzen und welche Informationen für diese von Interesse sind." Insofern sei es möglich, sich mit gezielten Maßnahmen vor dem Ausspähen wertvoller Unternehmensdaten zu schützen. Vor der Klassifizierung der Unternehmensdaten in kritisch, wichtig oder weniger wichtig steht eine profunde Risiko-Analyse: "Erkennen, welche Daten überhaupt gefährdet sind und geschützt werden müssen, ist wichtig", rät Martin Kuppinger. "Ich muss als Unternehmen wissen, was ich relativ unbesorgt irgendwo ablegen kann und was ich besonders sorgfältig schützen muss." Aufgrund dieser Analysen könnten Unternehmen dann konkrete und differenzierte Schutzmaßnahmen ergreifen.
Selbstverpflichtung für mehr Schutz
Nicht nur die gewachsene Awareness für das Thema Datensicherheit wäre also eine positive Folge des NSA-Skandals, die aus Sicht sammelwütiger Geheimdienste das bisher bequeme Ausspähen ins Gegenteil verkehren könnte. Zu den positiven Aspekten der Affäre gehört auch die Chance für Unternehmen aus Deutschland, aus Europa, ja sogar aus den USA, sich als wahre Hüter von Privacy und Datensicherheit zu präsentieren. So wie die Allianz, die als Versicherer viele sensible Daten vorhalten muss. Nach den Worten ihres CIOs Ralf Schneider "hat das Unternehmen Privacy und IT-Security schon immer zu einem ihrer wichtigsten Themen gemacht". Das könnte dem Versicherungskonzern nun nützen. "Entscheidend ist, die Privatsphäre des Kunden zu schützen und sein Vertrauen zu erhalten. Das bedeutet, und wird auch in Zukunft bedeuten, die eine oder andere Geschäftsidee nicht umzusetzen und erhebliche Investitionen in die Datensicherheit zu tätigen", so der CIO in seiner Jahrbuch-Wette.
Dass Datensicherheit in der Cloud nach deutschen und europäischen Sicherheitsstandards durchaus als Wettbewerbsvorteil angesehen werden könne, bestätigt eine Mehrheit von 56 Prozent deutscher Mittelständler in einer Umfrage von techconsult. Experten wie Martin Kuppinger oder Matthias Zacher warnen allerdings davor, diesen Wettbewerbsvorteil überzubewerten. "Mittelfristig rechne ich damit", so IDC-Analyst Zacher, "dass die Sicherheitsdiskussion wieder in den Hintergrund treten wird. Dann geht es wieder um die Vorteile der Cloud, die sich allen Kritiken zum Trotz durchsetzen wird, weil die Vorteile für die Unternehmen eventuelle Sicherheitsprobleme überlagern werden, die man zudem ja auch managen kann."
Auch Martin Kuppinger empfiehlt mehr Gelassenheit im Umgang mit dem Thema: "Unternehmen sollten nicht einfache Wege gehen und zum Beispiel einfach einen deutschen Cloud-Provider wählen, sondern über eine Analyse erst einmal ihre eigenen Risiken genau kennenlernen und dann die passenden Schritte unternehmen." Das könne am Ende durchaus in einer Public Cloud münden, für spezielle Daten auch in einer Private Cloud. Mit den richtigen Sicherheitsanalysen und Maßnahmen sei es mittelfristig dann zweitrangig, ob das über einen deutschen oder amerikanischen Provider geschehen würde.
Weitere Wetten finden Sie im CIO-Jahrbuch 2014 Jahrbuch 2014 - Neue Prognosen zur Zukunft der IT |