Bereits am 23.07. titelte die FTD Deutschland “Ab in die Tonne mit Kundendaten”. Ob Patientenakten, Kontoverbindungen oder Emailadressen: Schlampiger Umgang mit Kundendaten könne teuer werden. Darum bräuchten Unternehmen klare Richtlinien. In einer Umfrage unter 490 deutschen Mittelständlern habe im vergangenen Jahr jedoch nur die Hälfte der Unternehmen angegeben, ein umfassendes Datensicherheitskonzept umgesetzt zu haben.
“Google weiß, wo Beate-Uhse-Kunden wohnen”
Aufhänger des FTD-Artikels von Kirstin von Elm ist der Sicherheitsvorfall bei Beate Uhse im September 2008. Der Journalist und Blogger Daniel Große hatte bei einer Google-Suche nach einer E-Mail-Adresse zufällig eine auffällige Datei auf der Domain lustkatalog.de entdeckt, die zu Beate Uhse gehört: 12.000 Mailadressen – Teilnehmer eines Gewinnspiels wie Beate Uhse versicherte. Für den Imageschaden war es nebensächlich, dass es sich nicht um Bestellkunden handelte. Für die Teilnehmer des Gewinnspiels sicher auch.
Jan Otzen, Direktor Online-Business bei Beate Uhse habe schon damals festgestellt:
“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”
Das Beispiel aus dem Jahr 2008 zeigt, dass diese Erkenntnis nicht ganz so neu ist, eigentlich sogar schon kalter Kaffee.
Die Postbank und Ihre freien Handelsvertreter
Bereits im Mai wurde die Postbank zu 120.000€ Bußgeld verdonnert, weil sie freien Handelsvertretern Einblick in die Kontenbewegungen ihrer Kunden gab. Auch nicht ganz so taufrisch. Was neues wäre es, wenn jemand in der Postbank einen Business Case gefunden hätte, der die Wirtschaftlichkeit der Vorfalls nachweist. Festangestellte Handelsvertreter wären womöglich teurer geworden als das Bußgeld.
Der Artikel zählt noch weitere Beispiele auf, die jeder Sicherheitsprofi kennt: Vertrauliche Daten im Müll, freier Zugang zu eigentlich bewachten Bereichen, offene Serverräume, Trivialpassworte, Rechtevergabe auf Zuruf und Chefs, die von den einen auf den anderen Tag alles über den Haufen werfen und somit das größte Sicherheitsrisiko der Firma sind.
Alles einfach nicht unfassbar
Das alles kann für einen Sicherheitsprofi nichts neues sein. Es ist – wie ich bereits vor zwei Tagen getitelt habe – “einfach nicht unfassbar”.
“Hohe Strafen für fahrlässigen Umgang mit Kundendaten”, “Deutscher Mittelstand spart bei Datensicherheit”, “Chef oft das größte Risiko für Datenschutz”
Diese Zwischenüberschriften aus dem FTD-Artikel standen so oder anders bereits in zig Artikeln und über ebenso vielen PowerPoint-Folien von Sicherheitsprofis. Die Security-Branche selbst kommt nämlich auch ganz gerne mit Neuigkeiten, die keine sind und Leser wie Zuhörer sind trotzdem immer wieder von den Socken, was es auf der Welt für schlimme Dinge gibt.
Blick in die Geschichtsbücher
Seit Sicherheit organisiert werden muss, gibt es Sicherheitsbeauftragte. Schon weit vor dem Sicherheitsvorfall bei Beate Uhse, zur Zeit des Pharao Ramses IX (1127/1128 bis 1100 v. Chr.), gab es für das Tal der Könige einen Sicherheitsbeauftragten. Er hieß Pawero und er hatte mit einer wahren Plage von Grabräubern zu kämpfen. Plünderungen der Gräber waren damals sehr beliebt, besonders, weil man sich nach eine Festnahme durch Bestechung mit der Beute frei kaufen konnte. Der Fall des Grabräubers Amenpanufer verlief jedoch anders: Unter Folter offenbarte er das ganze Ausmaß der Korruption. Zahlreiche Wachen, Beamte und Kaufleute wurden so überführt und hingerichtet. Am Ende stellte sich übrigens heraus, dass Pawero – der „Getreue des Pharao“ – an der Spitze der Bande stand. Ramses IX ließ damals seinen Pressesprecher verkünden:
“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”
Etwas später, zur Zeit des Kaisers Qin Shiuangdi (Ende des 3. Jahrhunderts v. Chr.) waren General Meng-tian und sein Beraterstab mit der Konzeptionierung der Sicherheit beauftragt. Ihre Hauptaufgabe: Der Bau der Chinesischen Mauer zum Schutz vor Angreifern aus dem Norden. Mehr als 1000 Jahre später wurde den Chinesen der Ausbau der Mauer zu teuer. Nachdem man sich ihrer Sicherheit nicht mehr mit der nötigen Aufmerksamkeit widmete, wurde sie auch recht bald überwunden. Die chinesische Presse titelte damals etwa so:
“Chinesischer Staat spart bei Grenzsicherheit” und “Chef oft das größte Risiko für Schutz der Grenzen”
Die Geschichte hält ungezählte ähnliche Beispiele bereit. Bei all den Vorfällen ist eigentlich nur eine zur Metapher gewordene Überschrift erlaubt:
“Im Westen nichts neues.”
Zwänge, Ziele, Prioritäten, Risiken
Kommen wir zurück zu eingangs erwähnten Hälfte der 490 deutschen Mittelständler, die im vergangenen Jahr kein umfassendes Datensicherheitskonzept umgesetzt hatten und zurück zur Postbank, die 120.000€ Bußgeld bezahlen musste.In meinem Buch “Konfliktmanagement für Sicherheitsprofis” fordere ich, dass Sicherheitsprofis die Zwänge, Ziele, Prioritäten und Risiken ihrer Zuhörer stärker berücksichtigen müssen. Bei Geschäftsführern und oberem Management fasst ein Buchtitel von 1967 diese gut zusammen:
“Gewinnmaximierung und Rentabilitätsmaximierung als Ziel erwerbswirtschaftlich orientierter Unternehmungen und die Erreichung dieses Ziels durch optimalen Einsatz des Eigenkapitals”
Wenn knapp 250 Unternehmer einen Bußgeldfonds eröffneten und jährlich nur 500€ einzahlten, könnte sich jedes Jahr einer erwischen lassen – so einfach geht die Rechnung. Selbst, wenn sich ein Chef dazu überreden ließe, 20.000€ in ein Security Management System zu investieren, wäre er ja immer noch nicht vor einem Datenskandal gefeit, weil “in letzter Instanz Menschen für Fehler verantwortlich sind”. Er müsste also trotzdem 500€ in den Fonds einzahlen und sollte vielleicht besser gleich die gesamten 20.500€ in den Fonds einzahlen. Dann könnten sich jedes Jahr über 40 Unternehmen erwischen lassen und der Fond könnte die Bußgelder abdecken. Oder sollte er lieber eine Maschine von dem Geld kaufen und eine vorhandene Nachfrage decken. Dadurch würde er neue Kunden gewinnen und 120.000€ Umsatz machen. Überlegen Sie sich selbst, was Ihr Chef wohl für eine Rechnung aufmacht hat, nachdem er den Artikel in der FTD gelesen hat – wenn er ihn gelesen hat.
Im Westen nichts neues
So bitter es ist: Nicht nur im Westen gibt es nichts Neues – auch die IT-Sicherheits- und Datenschutzfronten haben sich verhärtet und die Protagonisten haben sich hinter ihren Barrikaden verschanzt. 50% der Unternehmen lassen sich so nicht erreichen. Dafür sind neue Ideen gefragt.
Security follows Business
Vor Allem aber die Berater-Tugend Nummer eins gefragt: Zuhören. Und wenn sich der Chef schon nicht persönlich als Gesprächspartner anbietet, dann reicht es ja vielleicht aus, sich am Buchtitels von 1967 zu orientieren. Sicherheitskonzepte müssen sich an den Geschäftszielen ausrichten und nicht umgekehrt: “Security follows Business™” heißt daher der richtige Beratungsansatz. Wenn diese Ziele nicht beeinträchtigt sind, dann sind Risikoübernahme bzw. Risikoakzeptanz durch die Geschäftsleitung absolut gerechtfertigt. Der Fehler liegt also nicht bei den Unternehmen, die sich gegen ein Datenschutzkonzept entscheiden, weil offensichtlich niemand in diesen Firmen einen ausreichenden Bezug zwischen Sicherheit und den Geschäftszielen herstellen konnte.
