Digitale Souveränität

Ein anderes typisches Beispiel für die freiwillige Aufgabe der Digitalen Souveränitat ist das Outsourcing des Server-Managements und des gesamten Administrations-Bereiches durch die DomainFactory an mehrere ukrainische Freelancer in 2018. Dies wurde zunächst nicht einmal an die eigenen Kunden kommuniziert und führte dann zum Verlust der Hoheit über das eigene Rechenzentrum. Dass dann mehr als einen Monat über das entstandene Problem überhaupt nicht kommuniziert wurde, ist schon eher ein ergänzender Randaspekt.

Zweites Fazit

Sicherlich ist es sehr wichtig, sich unabhängiger von IT-Services aus dem Ausland zu machen. Das gilt natürlich in erster Linie hinsichtlich der US-Amerikanischen, Chinesischen, aber sehr wohl auch der Britischen Konzerne („Five Eyes, https://de.wikipedia.org/wiki/UKUSA-Vereinbarung). Generell sollte jedoch jedes Unternehmen darauf achten, die Oberhoheit über System-relevante Prozesse nicht zu verlieren.

Digitale Souveränität – was heißt das überhaupt?

Dieser Begriff „digitale Souveränität“ ist zunächst einmal nicht wirklich neu, wird allerdings seit einigen Monaten immer stärker benutzt. Sogar bei Wikipedia findet man eine durchaus passable Definition.

Bei der BB-ONE.net gehört das Thema allerdings seit Gründung ganz eng zur eigenen Firmen-Philosophie, wurde doch seit Beginn grosser Wert auf maximale Unabhängigkeit von Closed Shop Software / Proprietären System etc. gelegt. Damit sind wir automatisch bei „Offenen Lösungen“, sowohl bei Software als auch bei Hardware gelandet. Es bestand stets der Wunsch, zu wissen, wass die Hard- oder Software wirklich macht.

Ein Musterbeispiel

Lassen Sie uns kurz noch einmal einen Blick auf den Begriff „Souveränität“ werfen.

In seiner Schrift „Sechs Bücher über den Staat“ definiert Jean Bodin (1529/1530–1596) den Begriff „Souveränität“ als die höchste und letztliche Entscheidungsbefugnis im Staat. Dies ist zunächst einmal juristisch gemeint, lässt sich allerdings trefflich auf viele, wenn nicht sogar auf jeden anderen Betrachtungsgegenstand übertragen.

Lassen Sie uns einmal ein beliebiges Unternehmen betrachten. Wir nennen es einfach „Meine Firma GmbH“. Diese Firma hat eine WebSite und Mailboxen für die Arbeit im Internet. Für die interne Arbeit stehen Rechner mit Verwaltungs-Software wie zum Beispiel Finanzbuchhaltung und Fakturierung zur Verfügung. Hinzu kommen Rechner mit klassischen „Büroanwendungen“ wie Textverarbeitung, Tabellenkalkulation, Präsentations- und Grafikprogramme und Werkzeuge zum Arbeiten im World Wide Web. Hier sind jede Menge  Softwares im Einsatz und noch viel mehr Daten unterwegs. Zum Teil streng vertraulich, in den meisten Fällen in jedem Fall unverzichtbar. Da sollte sich die Geschäftsleitung doch ein paar wichtige Fragen stellen. Gründlich nachdenken. Und sorgfältig beantworten.

1. Frage: Wirklich andere Regeln für Datenablage in Clouds?

Welches Interesse sollte die Firmenleitung der „Meine Firma GmbH“ daran haben, Teile der Firmendokumente, Informationen über Kunden und Lieferanten oder betriebswirtschaftlich relevante Zahlen außerhalb der eigenen Firma zu verteilen? Wir meinen hier: Papierstapel mit Informationen zum Beispiel in einem öffentlich zugänglichen Bereich lagern. Aber warum werden dann sogenannte Cloud-Services verwendet, bei denen die Firmenleitung nicht weiss, wo und wie die Firmendaten verarbeitet werden?

Bei Nutzung von Office365 ist OneDrive bzw. Sharepoint der Standard-Speicherort für alle Dokumente. Der Anbieter unterliegt dem sogenannten Patriot Act der USA. Verkürzt formuliert bedeutet das, die US-Regierung besitzt die Erlaubnis für den direkten Zugriff auch auf Server von US-Unternehmen und deren europäischen Töchtern. Deutsche Datenschutzbeauftragte sehen die Speicherung von personenbezogenen Daten deutscher Unternehmen auf derartigen Systemen als nicht zulässig an. Unabhängig von juristischen Begründungen, sollte es keinem Unternehmen gleich sein, dass andere durch Verwaltungsakt Zugriff auf beliebige Firmendaten erhalten können. Lesen Sie hierzu gerne einmal nach:

2. Frage: Bereit für den hohen Preis von Freemailern?

Welchen Vorteil hat „Meine Firma GmbH“ davon, daß sie das inhaltliche Scannen der gesamten elektronischen Kommunikation zulässt? Selbst das Durchforsten von Meta-Informationen der E-Mails wie z. B. Absender, Empfänger, Uhrzeiten durch den Mailanbieter sollte einem noch aufstoßen, zumal dieser dann in den Mails auch noch Werbung für seine Dienste macht?

Wer Freemailer wie GMX, Web.de, Googlemail, AOL usw. verwendet, muss wissen, dass diese Unternehmen alle Möglichkeiten ausschöpfen, um Metadaten und sogar die Inhaltsdaten selbst auszuwerten oder gewinnbringend weiter zu verkaufen. Dann das ist fester Bestandteil des jeweiligen Geschäftsmodells des Anbieters. Die Finanzierung dieser „kostenfreien“ Angebote erfolgt nämlich über eingeblendete, personalisierte Werbung.

Ein solches Verhalten widerspricht nicht nur der DSGVO, sondern auch dem legitimen eigenen Geschäftsinteresse Ihres Unternehmens. Selbst die kostenpflichtigen Pakete dieser Freemailer sind nicht frei von den genannten Gefahren.
Ein weiteres „Geschenk“: das Unternehmen macht auch noch unbezahlte Werbung für den Freemailer, vergleichbar der goldfarbenen Einkaufstüte des Luxusgeschäftes.

3. Frage: Unfreiwillig sehr tiefe Einblicke gewähren?

Warum überlässt „Meine Firma GmbH“ komplette Scans der lokalen Festplatten Unternehmen, mit denen keinerlei vertragliche Vereinbarung besteht und bei denen keiner weiss, inwiefern diese Informationen ausgewertet werden?
Beispiel: Die Verwendung von „kostenfreien“ AV-Scannern oder sogenannter Firewalls. Diese Software, deren wirklicher Funktionsumfang den allerwenigsten klar sein dürfte, muss, um funktionieren zu können, natürlich vollständigen lesenden und schreibenden Zugriff auf den jeweiligen Rechner und sämtliche über ihn oder für ihn erreichbare Speicher haben. Der Anbieter erhält also einen sehr komfortablen Einblick in Ihr Unternehmen. Zusätzlich versorgt er Sie noch mit personalisierter Werbung. In jedem versendeten Mail Ihres Unternehmens machen Sie zusätzlich noch Werbung für das Produkt, dem Sie Zugang zu Ihren Daten geschenkt haben.

4. Frage: Interne Auswertungen als freies und verkäufliches Zahlenmaterial?

Aus welchem Grund übergibt „Meine Firma GmbH“ wesentliche Informationen über die Besucher der eigenen WebSite an den Hoster und einen oder zwei andere Unternehmen, die diese Informationen dann weiter verkaufen?
Beispiel: Sie nutzen eine Software Ihres Hosters oder Google Analytics, um zu erfahren, wer wann was Ihrer WebSite ansieht. Unabhängig davon, ob Sie diese Informationen selbst zur Optimierung Ihres Angebotes nutzen: Ihr Hoster und ganz bestimmt Google nutzt die gewonnenen Daten, um daraus wertvolle Informationen zu machen und damit Milliarden Dollar zu verdienen.

5. Frage: Überwachung durch den Anbieter der Internetleitung?

Warum lässt „Meine Firma GmbH“ die Informationen über das Surfverhalten, damit auch über die privat oder unternehmerisch interessanten Themen freiwillig durch mehrere Dritte ausnutzen?
Beispiel: Ihr Unternehmen benutzt einen Internetzugang von Kabel Deutschland (oder einen beliebigen anderen). In den Netzwerkeinstellungen Ihres Gateways (fälschlicherweise Router genannt) und/oder Ihrer PCs wird mit großer Wahrscheinlichkeit der Nameserver Ihres Access Providers verwendet. Damit erfährt dieser, welche WebSites Sie besuchen, mit wem Sie Mailverkehr haben und einiges mehr.

Fazit

Diese Frageliste ließe sich beliebig fortsetzen. Tatsächlich verschenken täglich viele große und noch mehr kleine Unternehmen ihre Daten an einige wenige große Konzerne. Diese nutzen die vielen wertvollen Informationen zum eigenen und nicht zum Kundenvorteil. Am liebsten zum Geld machen.

Ob es eine Alternative zu diesem oft unfreiwillig freigiebigen Verhalten gibt? Ja klar, und sogar mehr als eine. In einigen Fällen muss man allerdings von der Idee Abstand nehmen, Leistungen „für lau“ zu beziehen. Denn wie wir gesehen haben,  sind diese Services beileibe nicht „für umsonst“. Und zweitens widerspricht das Gejammere über die schwindende digitale Souveränität diesem Kostenlos-Ansatz nun wirklich und vollumfänglich. Besser, man zahlt für eine klar umrissene Leistung und erkauft sich damit Entscheidungsfreiheit, Handlungsoptionen und letztlich auch Unabhängigkeit in der IT-Sicherheit.