Business-Software war in der Vergangenheit meist wenig vernetzt. Es gab kaum Schnittstellen, und wenn, waren sie in der Regel aufwendig proprietär programmiert, weil es selten um die Abwicklung eines vollständigen Geschäftsprozesses ging. Heute ist Software integriert beziehungsweise eng verknüpft mit anderen Systemen. Ein Beispiel: 1000 Antiblockiersysteme (ABS) werden verkauft, weitere 1000 bestellt. Diese Information leitet der Verkauf nach Anpassung der Lagerbestände sowohl an die Produktion als auch an den Einkauf zur Beschaffung.

Parallel dazu wird die Finanzbuchhaltung zur Fakturierung einbezogen. Die Produktion nutzt HR-Systeme, um die Einsatzplanung der Mitarbeiter zu steuern. Und das alles läuft über das Netz, meist sowohl im Unternehmensnetz wie auch im Extranet, damit im Interesse einer effektiven Supply Chain auch Lieferanten Zugriff haben.

Wenig Hoffnung auf Einigkeit

Betrieben wird die Infrastruktur größtenteils von externen Outsourcern oder in Cloud-basierten Geschäftsmodellen und - um den Mitarbeitern bessere Arbeitsbedingungen zu gestatten - inzwischen über mobile Endgeräte. Dieses komplexe Zusammenspiel optimiert zwar die Prozesse und ermöglicht enorme Kosteneinsparungen, führt aber auch zu mehr Risiken.

Im Zuge der Erkenntnis, dass Bürger und Unternehmen in großen Teilen ihrer Netzaktivitäten transparent sind, werden Rufe lauter: "Wir brauchen Ordnung und internationales Recht", "Wir brauchen eigene, nichtamerikanische Lösungen", "Wir brauchen ein eigenes, ein europäisches Netz." Und vor allem: "Wir müssen verschlüsseln, verschlüsseln, verschlüsseln." Natürlich wäre ein sogenannter Code of Conduct für ein internationales Datenschutzrecht wünschenswert, notwendig und sinnvoll.

Es kann und wird aufgrund international unterschiedlichster Interessen aber nur einen Minimalkonsens geben. Darauf zu hoffen, dass unser deutsches, doch etwas sperriges und im Zeitalter von intelligenten Netzinfrastrukturen, Big Data und flexiblen Business-Modellen schwer umsetzbares Bundesdatenschutzgesetz (BDSG) als Maßstab für die Welt dienen könnte, ist illusorisch. Einfacher und wirkungsvoller wäre es, für Verfehlungen Geldstrafen zu vereinbaren - so empfindlich, dass sie eine abschreckende Wirkung auf "Täter" haben.

In Zeiten der Globalisierung auf nationale oder europäische Lösungen wie eine europäische Suchmaschine oder ein Social-Media-Netzwerk zu setzen wäre fatal, denn welche größeren Unternehmen sind heute noch regional aufgestellt und beschäftigen ausschließlich europäische Mitarbeiter? Zumal auch europäisch und national Konsens erreicht werden müsste, wann und wem Ausspähen verboten ist.

Forderungen nach mehr Verschlüsselung gab es bereits vor 15 Jahren. Sicher, Verschlüsseln ist wichtig und hilft, Dinge vor allzu neugierigen Augen verborgen zu halten, nur sollten sich Unternehmen bewusst sein, dass man damit zwar eine große Zahl von Angreifern abhält, professionelle Kriminelle aber kaum abschreckt. Das Drama beim Verschlüsseln liegt neben der meist nutzerunfreundlichen Handhabung im Glaubenskrieg zwischen zentralem oder Ende-zu-Ende-Ver-/Entschlüsseln, was nicht nur Personal- und Betriebsräte auf den Plan ruft, sondern auch eine integre Schlüsselverwaltung bei zum Beispiel unfreundlichen Trennungen von Mitarbeitern komplex gestaltet.

Backup bei der NSA?

Was sollten Unternehmen also tun:

1. Wissen, welche Geschäftsprozesse kritisch sind,

2. ein umfassendes, kontinuierliches Risiko-Management anwenden und

3. vor allem die Maßnahmen NACH der Risikoentscheidung auch umsetzen.

Unternehmen müssen sich möglicher Risiken viel stärker bewusst werden. Ihnen muss auch klar sein, dass sie für Schäden finanziell und/oder personell zur Verantwortung gezogen werden können. Nicht außer Acht zu lassen, weil mutmaßlich das größte Risiko: der "unbedarfte" Mitarbeiter, den man nur durch regelmäßige und aktua-lisierte Schulungen die Risiken ins Bewusstsein bringen kann.

Für die Firmen haben die jüngsten Offenbarungen aber auch etwas Gutes. Sie könnten immense Kosten für Backup- und Archivierungslösungen sparen. Ein Anruf bei den Geheimdiensten genügt, und die Daten werden prompt geliefert. Nur SLAs müssten noch vereinbart werden. (ba)