Es gibt kein digitales Briefgeheimnis

Aktuelle Studien besagen, dass sich gerade einmal rund zwei Drittel der deutschen Unternehmen mit der herannahenden Datenschutzgrundverordnung auseinandergesetzt haben. Dabei wird die Zeit eigentlich schon ziemlich knapp.

„Die DSGVO ist ein ziemlich komplexes, juristisches Rahmenwerk. Die Administratoren müssen eigentlich schon halbe Juristen sein oder sich zumindest sehr intensiv einarbeiten, um das Thema vollumfänglich zu verstehen. Dazu fehlt eigentlich meist die Zeit und das Personal“, so Dr. Florian Scheuer, CTO der IT-Sicherheitsfirma Dracoon.

Verschiedene Firmen bieten DSGVO-konforme Lösungen an, trotzdem kommen diese nur bei wenigen Firmen tatsächlich zum Einsatz. „Wenn man eine neue Software-Lösung einführt, stößt das oft auf einigen Widerstand. Die Mitarbeiter müssen aufgrund dessen ihre Gewohnheiten ändern und das machen die wenigsten gern“, sagt Thomas Haberl von Dracoon. „Die meisten bringen eine solche Veränderung erst, wenn es irgendwelche Vorfälle gab, oder der Druck so groß wird, dass entsprechend etwas unternommen werden muss.“ Außerdem spiele der finanzielle Faktor eine entscheidende Rolle. Zwar würden Unternehmen etwa bei ihren Dienstwagen gerne einmal das höherpreisige Modell wählen, wenn es aber um die IT-Sicherheit geht, werde jeder Euro genau begutachtet, so Haberl weiter.

Selbst Behörden seien nur schlecht auf die DSGVO vorbereitet. „Bedenkt man, wie behäbig solche Einrichtungen beim Evaluieren, Testen und schlussendlich bei der Einführung solcher Softwares sind, ist es schon alarmierend, dass gerade einmal fünf bis zehn Prozent solche Lösungen derzeit einsetzen.“ Genau genommen dürfe nach Inkrafttreten der DSGVO nämlich keine einzige E-Mail mehr mit einer Anlage verschickt werde, indem personenbezogene Daten wie Einkommenssteuer oder ähnliches beinhaltet sei, gibt Haberl zudem zu Bedenken.

Dabei ist es nicht nur im Hinblick auf die DSGVO wichtig, dass der Nutzer die Datenhoheit über seine eigenen Dateien zurückgewinnt. Darüber sind sich Haberl und Scheuer einig. „Spätestens die Snowden-Veröffentlichungen haben gezeigt, dass es das digitale Briefgeheimnis schlicht nicht gibt. Auch wenn der Übertragungsweg vermeintlich verschlüsselt wird oder ähnliches. Wirkliche Sicherheit bekommt man eigentlich nur durch eine Client-seitige-Verschlüsselung“, sagt Haberl. Um ganz sicher zu gehen, sei es sogar sinnvoll, die Daten nur den jeweils beteiligten Abteilungen eines Unternehmens zugänglich zu machen. „Studien belegen, dass 60 Prozent der Datenabflüsse intern passieren. Sei es nun aus Unachtsamkeit, oder einem unzufriedenen Mitarbeiter. Wenn die Daten aber abteilungsabhängig und Client-seitig verschlüsselt sind, kann das gar nicht wirklich passieren.“

Die Einrichtung solcher Services sei laut Haberl gar nicht schwer. Dies dauere oft nur wenige Stunde. „Wir empfehlen dem Administrator allerdings schon, einen kleinen Miniworkshop mit den Mitarbeitern zu machen“, so Haberl. „Hat sich der Kunde etwa für einen entsprechenden Cloud-Service entschieden, ist das denkwürdig einfach. So gesehen muss sich der Kunde nur einloggen und fertig. Alles andere macht die Software von ganz allein“, fügt Scheuer ergänzend hinzu.