Bis vor wenigen Monaten war die IT-Welt für Unternehmen noch in Ordnung. Vertraut wurde, wen man kannte. Nach PRISM und dem NSA-Skandal glaubten viele, dass dieses Denken konsequenter umgesetzt werden muss, um sensible Daten zu schützen. Doch die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten.

Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt. Es sind zwei wesentliche Pflichten, die sich jeder IT-Verantwortliche jetzt zu Herzen nehmen muss:

Verschlüsselung ist keine Option, sondern Pflicht.

Jegliche Kommunikation über firmenexterne Infrastrukturen muss verschlüsselt ablaufen. Die Abhörexperten müssen viel Zeit und Geld darauf verwenden, diese Hürden zu nehmen. Ganz verhindern lässt sich das nicht, aber sie werden es sich zweimal überlegen, ob sie diese Mühe auf sich nehmen. Die massenhafte Überwachung ist nicht mehr möglich.

Innere Sicherheit ist keine Option, sondern Pflicht.

Bisher reicht ein kleines Loch in der Schutzmauer, um Angreifern das Unternehmensnetzwerk zu öffnen. Sind sie einmal drinnen, finden sie Biotope vor, in denen sie sich frei bewegen können, ganz wie ein legitimer Benutzer. Diese Biotope gilt es trockenzulegen. Konkret heißt das, keinen unkontrollierten Zugriff auf Daten zuzulassen, nur weil er von innerhalb des Netzwerkes kommt. Wertvolle Daten und Applikationen werden quasi weggesperrt und der Sicherheitsverantwortliche richtet Technologien ein, die ganz genau prüfen, wer wann wie darauf zugreift, und die im Zweifelsfall sofort Alarm schlagen.

Das klingt reichlich paranoid. Über die letzten 15 Jahre wurden diese Vorschläge belächelt, doch jetzt zeigt sich, dass die Berufsparanoiker Recht hatten. Die Arbeit, die sie in die Entwicklung der Schutztechnologien gesteckt haben, wird jetzt für alle wichtig. Es ist eine späte Rehabilitation, über die sich keiner so recht freuen kann.