PR-Berater Alain Blaes

"Ein unglücklicher Zufall für Vodafone"

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Vodafone wurden zwei Millionen Kundendatensätze gestohlen. Die Information kommt erst jetzt, obwohl der Vorfall einige Tage zurückliegt. Wie glaubwürdig sind deutsche Unternehmen noch, was ihre Informationspolitik bezüglich umfangreicher Datenverluste angeht?

Darüber haben wir mit Alain Blaes gesprochen. Er ist Geschäftsführer von PR-COM, einer Münchner Agentur für strategische Kommunikation. Vor vier Jahren rief Blaes gemeinsam mit Agenturkollegen Projekt-Datenschutz.de ins Leben, eine Online-Datenbank für öffentlich bekannt gewordene Datendiebstähle in deutschen Unternehmen und Behörden.

CW: Obwohl der Diebstahl von zwei Millionen Vodafone-Kundendatensätzen schon einige Tage zurückliegt, informiert das Unternehmen Kunden und Öffentlichkeit erst heute darüber - angeblich auf Wunsch der Ermittlungsbehörden. Dass Unternehmen gar nicht oder viel zu spät informieren, ist ein gängiges Phänomen. Warum ist das so?

Alain Blaes begreift die NSA-Affäre als Chance für den Datenschutz.
Alain Blaes begreift die NSA-Affäre als Chance für den Datenschutz.
Foto: PR-COM

BLAES: In der Unternehmenskommunikation gibt es die Diskussion schon immer: Wie sinnvoll ist die "Flucht nach vorn", wenn ich dadurch mit Imageverlusten oder Umsatzeinbußen rechnen muss? Die Angst ist groß. Bei der Datensicherheit geht es um die Verantwortung von IT-Leitern, die Chefetage hat es mit Globalisierungsfragen und engen Margen zu tun und kann keinen Umsatzrückgang riskieren. Wir wissen jedoch: Früher oder später kommt es sowieso raus und dann haben die Unternehmen erst recht ein Problem. Meldepflicht nach §42 BDSG (Bundesdatenschutzgesetz, Anm. d. Red.) hin oder her, richtig geholfen hat sie nicht. "Glücklicherweise" haben wir den NSA-Skandal, der gerade sehr viel bewirkt, was das Bewusstsein in der Öffentlichkeit angeht.

CW: Was wünschen Sie sich von den Unternehmen?

BLAES: Dass sie aus Vorfällen lernen. Unterhalb der Geheimdienstschwelle gibt es heute keine wirklichen Datenschutzprobleme. Die Sicherheitstechnik ist vorhanden - Firewalls, Verschlüsselung, DLP. Es ist kein technisches Problem, sondern höchstens ein Problem der IT-Organisation, des Budgets oder des Willens. Jedes Unternehmen sollte in der Lage sein, seine Daten vor Angreifern ausreichend zu schützen.

NSA-Affäre ist ein politisches Problem

CW: Sorgt die NSA-Affäre dafür, dass Unternehmen zumindest versuchen, besser auf ihre Daten aufzupassen?

BLAES: Zumindest diskutieren sie darüber. Viele sitzen aber auch in Zukunft Vorfälle einfach aus. Die Bevölkerung diskutiert, Datenschutz-Profis diskutieren, Cloud-Anbieter haben Angst um ihr Konzept. Aber sonst geschieht nicht viel, weil auch der Gesetzgeber kaum aktiv ist. Das Ganze ist kein IT-Problem, sondern ein politisches. Es müssten wirkungsvolle Maßnahmen seitens der Regierung geben, vielleicht auch eine Art Internationale des Datenschutzes.

Mich wundert zudem sehr, dass die Wirtschaftsverbände nicht vorangehen und von der Politik fordern, dass sich etwas ändern muss - was im Falle der Geheimdienste nicht unbedingt zielführend sein muss, denn sie agieren wie ein Staat im Staate und werden auch weiterhin Gesetze flexibel auslegen. Es mag sein, dass ein Austausch zwischen Wirtschaft und Politik längst im engen Kreise passiert. Aber warum gehen sie damit nicht an die Öffentlichkeit? Das würde der gesamten Diskussion helfen. Ich kann nur vermuten, dass viele Unternehmen bereits Opfer von Wirtschaftsspionage geworden sind und Angst haben, dass diese Fälle dann ebenfalls öffentlich bekannt werden. Von den Wirtschaftsverbänden hätte ich eine klare und aktive Stellungnahme zur NSA-Affäre erwartet. Schade, dass es so still um sie ist.

CW: Vodafone-Kunden können heute immerhin prüfen, ob ihre eigenen Daten betroffen sind - indem sie über ein öffentlich zugängliches HTTPS-Formular Kontonummer und Bankleitzahl eingeben. Ist das aber angesichts der NSA-Enthüllungen, dass auch HTTPS-Datenverkehr abgefangen wird, nicht ein informationspolitisches Eigentor?

BLAES: Ich glaube nicht, dass sich HTTPS-Verkehr so einfach mitlesen lässt - geschweige denn, dass die NSA oder andere Geheimdienste, die diesen Aufwand betreiben können, großes Interesse an diesen Daten hätten. Die Frage ist auch, welche sicheren und schnellen Kommunikationsalternativen zu HTTPS gäbe es: Telefon? E-Mail? Es ist natürlich ein unglücklicher Zufall für Vodafone, ähnlich wie die Vorstellung des Fingerabdrucksensors im neuen iPhone 5s. Auch das kommt diese Woche zu keinem sehr glücklichen Zeitpunkt.

Vodafones Aussagen "wenig glaubwürdig"

CW: In seiner Kundeninformation versichert Vodafone, dass keine Kreditkartendaten, Passwörter, PIN-Nummern, Mobiltelefonnummern oder Verbindungsdaten kopiert worden seien. Wie glaubwürdig ist eine solche Aussage?

BLAES: Nach dem zögerlichen Vorgehen von Vodafone ist es für mich wenig glaubwürdig. Und nach den Snowden-Enthüllungen haben wir gelernt, mit allem zu rechnen, das fängt nicht erst mit Vodafone an. Unternehmen fürchten sich eben vor Imageschäden und Umsatzrückgang und versuchen alles, um das irgendwie zu verhindern. Trotzdem frage ich mich immer häufiger, wo eigentlich die Kommunikationsprofis geblieben sind, die eine größtmögliche Transparenz befürworten müssten.

CW: Ist ein Projekt wie Ihres, eine Art Internet-Pranger, der richtige Weg?

Projekt-Datenschutz.de informiert über bekannt gewordene Datenunfälle in Deutschland.
Projekt-Datenschutz.de informiert über bekannt gewordene Datenunfälle in Deutschland.

BLAES: Projekt-Datenschutz.de ist ein Tropfen auf den heißen Stein. Unsere Idee war es, die Öffentlichkeit zu sensibilisieren, nicht ein Internet-Pranger aufzubauen. Wir tragen zur Diskussion und zur politischen Debatte bei. Das Projekt ist ein immenser Aufwand, zwei bis drei Leute sind damit ständig beschäftigt. Wir greifen maßgeblich auf die Informationen zu, die in den Medien bekannt werden.

CW: Haben sich Unternehmen bei Ihnen beschwert?

BLAES: Ja, einzelne Unternehmen haben sich beispielsweise beschwert, dass die vorgehaltenen Informationen über einen Datenverlust nicht stimmten. Wenn es neue Erkenntnisse gibt und die Medien darüber berichten, dann aktualisieren wir das selbstverständlich. Allgemein kamen in den vergangenen vier Jahren aber sehr wenig Beschwerden.

Stärker über Datenunfälle aufklären

CW: Wird die Datenbank auch abseits von journalistischer Recherche genutzt?

BLAES: Ich weiß von Verbraucherzentralen und Universitäten, die die Datenbank nutzen. Und eine Datenschutz-Referentin setzt sie etwa im Rahmen von Vorträgen ein, um für das Thema zu sensibilisieren. Und genau darum geht es: Es gibt zwar viel kriminelle Energie da draußen, aber auch sehr viel Fahrlässigkeit unter den Anwendern, was den Umgang mit Daten angeht. Regelmäßige Schulungen sind wichtig.

CW: Inwiefern hilft Ihnen das Projekt in Ihrer täglichen Agenturtätigkeit?

BLAES: Es ist kein Akquisetool. Es ist vor vier Jahren spontan entstanden, als sich die Zahl der Datenvorfälle stark häufte. Darüber hinaus haben wir viele Kunden aus dem IT-Security-Umfeld, da lag so ein Projekt nahe. Es hilft uns, am Puls des Marktes zu bleiben.

CW: Wie geht es mit Projekt-Datenschutz.de weiter?

BLAES: Trotz des immensen Pflegeaufwands machen wir weiter, das ist es uns wert. Das Fünfjährige im kommenden Jahr wollen wir in jedem Fall feiern.