German-Cloud-Gründer Götz Piwinger über Datenschutz und Datensicherheit in Deutschland

Datenspionage: Wie blind müssen die Verantwortlichen gewesen sein?

14.08.13 | Redakteur: Florian Karlstetter

Wie konnten Politiker, Datenschützer und Unternehmen das Thema Datensicherheit so sträflich vernachlässigen? German-Cloud-Gründer Götz Piwinger gibt Tipps, wie man durch die Nutzung von Cloud-Technologien Risiken minimieren kann. (© alphaspirit - Fotolia.com)

Vor dem Hintergrund der maßlosen Datenspionage diverser Geheimdienste ist Götz Piwinger, Initiator der German Cloud der Frage nachgegangen, wie Politiker, Datenschützer und Unternehmen unsere Datensicherheit so sträflich vernachlässigen konnten? Und kommt zu einem niederschmetternden Ergebnis ...

In der Vergangenheit bestand das Verkaufsargument Deutscher Datenschützer primär aus der Drohung, dass Geschäftsführer bei Verstößen gegen das Bundesdatenschutzgesetz persönlich haften, beispielsweise beim Verlust von Sicherungsbändern mit Personendaten. Und klar: Unternehmen mit mehr als zehn Beschäftigten im IT-Bereich sollten über einen Datenschützer verfügen. Vergehen gegen den Datenschutz müssen eigentlich auch veröffentlicht werden. Aber darüber liest man in Wirklichkeit nicht viel.

Datenschutz ist nicht gleich Datensicherheit

Der Datenschutz befasst sich im Kern mit personenbezogenen Daten, Datensicherheit im Kontext mit Auftragsdatenverarbeitung ist das Stichwort für den sicheren Umgang mit Firmendaten. Umgangssprachlich hat sich "Datenschutz" als Begriff für alles durchgesetzt. Aber: Ein "zertifizierter" Datenschutzbeauftragter muss nicht zwingend Erfahrung über Geschäftsprozesse im Unternehmen, Service Level Agreements und Verträgen mit Cloudprovidern verfügen. Ein Seminar zum Datenschutzbeauftragten kann in fünf Tagen absolviert werden. Die Dozenten sind im besten Falle Juristen. Eine offizielle Zertifizierung gibt es nicht, die (Teilnahme-)Zertifikate sind jeweils nur auf den Schulungsanbieter bezogen.

Das Seminar "IT-Grundlagen für Datenschutzbeauftragte" muss gesondert gebucht werden. Wie sollten also die bisherigen Datenschützer in der Lage gewesen sein, die Bedrohung durch Datenspionage zu verhindern?

IT-Security-Experten in Not

Vielleicht hätten uns ja unsere IT-Sicherheitsexperten warnen können? Denn schließlich geben die Unternehmen hohe Summen für Firewalls, Schutzprogramme und künstliche Hackerangriffe aus. Obwohl es täglich übelste Hackerangriffe auf die mangelhafte IT-Architektur mancher Unternehmen gibt (am beliebtesten sind AD-übergreifende Multifunktionsgeräte) und dieser Investitionsbereich damit sehr wichtig bleibt: Haben sich unsere IT-Security-Experten ausreichend mit den unterschiedlichen Rechtslagen zur Datensicherheit innerhalb und außerhalb der EU beschäftigen können? Waren sie in die Ziele der Unternehmensleitung eingeweiht? In den großen Unternehmen mag das sogar der Fall sein. Denn werden, Datenschutz, Datensicherheit und Compliance in der Unternehmensleitung verankert.

Mittelständische Wirtschaft im Zentrum der Bedrohung

Mittelständische Unternehmen hingegen sind oft abhängig von ihren IT-Zulieferern. Diese wiederum sind ebenfalls gerne kleine bis mittelständische Betriebe, die auf Dauer nicht in der Lage sind, die notwendige Infrastruktur bereitzuhalten und spätestens beim Backup auf externe Anbieter zugreifen. Leistungskataloge, Servicehandbuch und SLA's sind für Lieferant und Kunde oft Fremdworte. Dadurch bietet sich der Mittelstand, insbesondere produzierende Betriebe und Ingenieurbüros als perfekte Ziele für Datendiebe an. Die nicht-homogene prozessuale Struktur durch die Nutzung unterschiedlicher Gerätestandards und Architekturen in Verbindung mit dem Verhalten der Beschäftigten, beispielsweise durch die Nutzung privater Geräte zur Datenübertragung, öffnen Tür und zum Datenklau.