Der größte IT-Dienstleister der Welt, IBM, hat festgestellt, dass seine eigenen Mitarbeiter eine mitunter laxe Auffassung vom Thema Datenschutz haben. Zahlreichen Unternehmen geht es nicht anders. Sollte vor diesem Hintergrund der Schutz unserer Daten dann nicht viel mehr als bislang Teil des digitalen Lebensstils werden?
Es ist paradox: Mehr und mehr IT-Technologie bestimmt unser privates und Arbeitsleben. Und immer weniger bekommen wir anscheinend den Schutz der teilweise sensiblen Daten in den Griff. Damit Datenschutzmechanismen greifen, müssen sie Teil der Unternehmenskultur sein und im besten Fall verankert im Bewusstsein der Mitarbeiter.
IBM macht die Kehrtwende: Kürzlich hat der größte IT-Dienstleister der Welt seinen Mitarbeitern den Zugang zu beliebten Web-Diensten wie Dropbox gesperrt. Grund: Vor zwei Jahren fing das Unternehmen damit an, den Angestellten die Nutzung privater IT-Geräte zu erlauben. Wer wollte, konnte seither seinen eigenen Laptop, Tablet oder Smartphone im Job nutzen.
Unternehmensmails auch vom iPhone aus abrufen oder zu Hause am aktuellen Projekt weiterarbeiten? Sowohl Unternehmen als auch ihre Angestellten sehen im so genannten Bring your own Device (ByoD) ihre Vorteile. Firmen müssen nicht in Hardware investieren, um ihre Mitarbeiter mobil in die Unternehmens-IT einzubinden. Und die Angestellten können statt klobiger Firmenhandys und Tisch-PCs nun ihr eigenes schickes Smartphone oder Design-Notebook verwenden. Nicht nur für IBM, auch für zahlreiche andere Unternehmen schien es in letzter Zeit so, als ob sich mit ByoD eine Win-win-Situation auftun würde.
Zu früh gefreut
Doch es kam anders. Jeannette Horan, CIO bei IBM, erläuterte kürzlich in einem Online-Beitrag auf “technology review”, dass ByoD bei IBM nicht zu Einsparungen geführt hat. Stattdessen habe es ihre IT-Abteilung mit 5.000 Beschäftigten vor gänzlich neue Herausforderungen gestellt. Denn die Geräte der Mitarbeiter seien voll von Software, die IBM nicht kontrollieren könnte. Jedes Gerät muss seitdem erst einmal einen Check der unternehmensinternen IT-Abteilung durchlaufen. Hierbei werden Services wie Apples Spracherkennung “Siri” gänzlich gesperrt. Aus Angst, dass die Daten, die allesamt Apples Server durchlaufen, Firmengeheimnisse enthalten könnten. CIO Jeanette Horan gibt zu, dass IBM bei diesem Thema “außerordentlich konservativ” ist. Gut so. Denn nur wer das Thema Datenschutz ernst nimmt, bei dem greifen die Mechanismen auch.
Oder ist das doch eher ein zu übereifriges Vorgehen? Sollte ein Konzern aus Datenschutzgründen seine Mitarbeiter derart bevormunden und ihnen verbieten, mit ihrem privaten Smartphone auf bestimmte Web-Dienste zuzugreifen? Das ist in etwa so, als ob Firmen ihren Mitarbeitern vorschreiben, welche Straßen sie mit ihrem privaten PKW auf dem Weg zur Arbeit befahren dürfen. Um Risiken im Straßenverkehr zu vermeiden.
Unwissenheit über Datenschutz bedroht Firmengeheimnisse
Keine Frage, die IT-Managerin muss bereits vor dem Einsatz von ByoD geahnt haben, dass mit der Technologie neue Herausforderungen auf ihr Team zukommen. Entscheidend aber ist eine andere Erkenntnis, die im Zuge einer internen Untersuchung zu den Datenschutzrisiken bei ByoD aufgetaucht ist: So stellte der Konzern fest, dass eigene Mitarbeiter teilweise wenig Kenntnis darüber haben, welche Applikationen Sicherheitsrisiken darstellen. Angestellte hätten sich entgegen der Firmenpolitik dazu entschieden, beispielsweise sämtliche E-Mails an ihren Privataccount weiterzuleiten.
Es hat Respekt verdient, wenn eine CIO mit so viel Offenheit über Fehler redet. Aber es zeugt auch davon, wie groß die Diskrepanz zwischen Datenschutzanforderungen auf der einen und tatsächlich gelebtem Datenschutz auf der anderen Seite ist. Natürlich bricht es einem Unternehmen nicht das Genick, wenn sich ein Mitarbeiter eine Termineinladung für ein Meeting an seinen privaten E-Mail-Account weiterleitet. Aber in zahlreichen Firmen lagern tatsächlich hoch sensible Daten, in die Forschungs- und Entwicklungsabteilungen Millionen investieren. Und diese Daten dürfen einfach nicht in falsche Hände geraten. Dass Datenklau-Szenarien wenig mit Wahnvorstellungen zu tun haben, belegen derzeit zahlreiche Aussagen der Bitkom und der Bundesregierung, die im Diebstahl von Unternehmensdaten mittlerweile eine echte Bedrohung für deutsche Unternehmen sehen. Insbesondere seien kleine Unternehmen und Mittelständler gefährdet, da hier Security-Mechanismen sowie Datenschutz-Regeln noch weniger verankert sind als bei großen Konzernen.
Die Maschine sorgt für Sicherheit, für den Datenschutz aber der Mensch
Die IBM-internen Erkenntnisse über den schwammigen Umgang mit Datenschutz-Regel zeigen aber auch, dass selbst IT-Riesen Probleme damit haben, ihre Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Dabei geht es dem weltumspannenden Konzern nicht anders als anderen Unternehmen, egal, ob groß oder klein. Der Datenschutz bekommt bislang in den meisten Firmen zu wenig Aufmerksamkeit.
So geht es beim Thema Datenschutz nicht etwa darum, mit Firewall & Co. die IT-Systeme gegenüber dem Zugriff von Dritten zu schützen. Nein, beim Datenschutz ist nicht die Maschine für den behüteten Umgang mit Unternehmensdaten verantwortlich, sondern einzig und alleine der Mensch. Wenn Mitarbeiter nicht regelmäßig ihr Passwort aktualisieren, kein Bewusstsein darüber haben wie gefährlich es sein kann, einen privaten USB-Stick an den Firmenrechner anzuschließen, oder ihre Passwörter auf gelbe Zettel neben dem Bildschirm kleben, dann nutzt auch die beste Sicherheitstechnologie recht wenig.
Das Thema wirft grundsätzlich Fragen darüber auf, wer letztlich für den Schutz der Daten verantwortlich ist. Muss beispielsweise ein Ingenieur wissen, wie fatal es für das Unternehmensgeschäft sein kann, wenn er einen Konstruktionsplan an seine private E-Mail-Adresse schickt, damit er vor seiner großen Präsentation am Montag Morgen das Ganze am Wochenende noch einmal durchgehen kann? Firmen können nicht von jedem Mitarbeiter erwarten, dass er von vornherein bestens über den Datenschutz informiert ist und sensible Unternehmensdaten entsprechend behandelt. Denn die Tücken der Technik sind groß und harmlose Web-Dienste können im Extremfall zur Datenfalle werden.
Datenschutz von klein auf?
Damit der Datenschutz funktioniert, müssen also alle ins Boot geholt werden: Die Firmenleitung muss dem Thema Aufmerksamkeit einräumen und dafür sorgen, dass Mitarbeiter entsprechend sensibilisiert werden. Genau so, wie es etwa beim Brandschutz in produzierenden Unternehmen selbstverständlich ist. Aber auch jeder Einzelne ist gefragt: Ist es richtig, seine Firmendaten ungeachtet in seine private Dropbox zu schieben?
Fest steht: Das Thema Datenschutz steckt trotz der weit fortgeschrittenen Digitalisierung unserer Gesellschaft nach wie vor in den Kinderschuhen. Und vielleicht oder gerade deshalb sollte man darüber nachdenken, genau dort anzufangen. Wenn Datenschutz bereits im Schulzeitalter thematisiert wird, könnte er sich dann nicht ausreichend im gesellschaftlichen Bewusstsein verankern? Warum nicht? Im Rahmen der schulischen Erziehung werden Kinder schon seit Jahren über den Umgang im Straßenverkehr unterrichtet. Oder wie wäre es mit einem Datenschutzführerschein? Eine Idee ist es wert.