Pulchinellas Geheimnis oder wie sicher sind unsere Unternehmensgeheimnisse?

Das Thema IT- und Datensicherheit begleitet uns auf Schritt und Tritt. Die NSA späht anscheinend ohne Scham Feind und Freund aus und wird dabei von unserem eigenen Bundesnachrichtendienst unterstützt. Im Fokus der „Informationssammlung“ stehen nicht nur Politiker. Es geht auch um Industriespionage. Keiner weiß genau, wer und was auf der Suchwortliste steht.  Eigentlich will das auch gar keiner wirklich wissen. Doch kann man sich überhaupt vor den Späh-Attacken schützen? Kann man überhaupt noch Informationen geheim halten? Und wenn ja, wie? Fragen, die uns in unserem letzten Industrie-Expertentreffen von ALLISTRO CAPITAL Mitte April in Frankfurt beschäftigt haben. Unser Keynote-Redner Tim Cole vertritt in dieser Diskussion überraschende Thesen und beruft sich auf Kim Cameron’s Law: „Sensitive information will be leaked“.

Sein Vortrag „Pulcinellas Geheimnis“ und auch sein aktuelles Buch „Digitale Aufklärung: Warum uns das Internet klüger macht“, das er zusammen mit dem kürzlich verstorbenen Internet-Guru Ossi Urchs herausgebracht hat, habe ich zum Anlass genommen und ihn gebeten, in diesem Monat uns einige drängende Fragen zu diesem so wichtigen Thema in meinem Blog zu beantworten.

 

Interview mit dem Publizisten und Wirtschaftsredakteur Tim Cole

Tim Cole, wie ist Geschichte um Pulcinellas Geheimnis entstanden?

Sie ist nicht von mir, sie ist von Enrico Mordelli. Enrico Mordelli ist ein witziger Mann. Ein sehr gescheiter noch dazu: Als in Italien lebender Psycholanalyst und Informatiker kennt er das Seelenleben der Menschen genau wie das der Computer. Vor einiger Zeit hielt er in München einen Vortrag mit dem schönen Titel: „Geheimnisse und ihre Bedeutung im Zeitalter von Wikileaks“, in dem er über die neue Transparenz des Internet und die Folgen für unsere Gesellschaft sprach, was angesichts der vielen Schlagzeilen über Datenschwund und Identitätsdiebstahl gerade in letzter Zeit besonders aktuell ist.

Mir hatte zu dieser Zeit die Russenmafia meine komplette Homepage gekapert und umgeleitet, was mir ziemlich viel Ärger und Aufwand eingehandelt hat, also habe ich ihm aufmerksam zugehört.

Geheimnisse, sagt Mordelli, sind wichtig für unsere geistige Gesundheit. Wenn wir wüssten, dass alle alles über uns wissen, würde uns das verrückt machen. Unsere innersten Gefühle, Sehnsüchte und Angewohnheiten müssen geheim bleiben, weil es uns Ruhe und Ausgeglichenheit schenkt. In Wahrheit aber, behauptet er, ist nichts wirklich geheim, und daran lässt sich auch nichts ändern. Das ist so, seitdem es den Menschen gibt, denn der Mensch ist im Laufe seiner Entwicklung gewohnt gewesen, in dörflichen Gemeinschaften zu leben, und in einem Dorf ist nichts geheim.

 Und die Geschichte handelt davon, dass nichts geheim ist und niemand (angeblich) etwas weiß?

Ja, so ist es. „Jeder im Dorf weiß alles über alle anderen Bewohner, „ sagt Mordelli. „Alle Akteure wissen, wo jeder sich gerade befindet. Giovanni ist auf dem Feld und pflügt. Seine Frau ist mit dem hübschen Antonio droben im Heuboden und macht Liebe, und das weiß auch jeder. Aber alle tun so, als wüssten sie es nicht. Das muss auch so sein, weil sonst das friedliche Zusammenleben in einem Dorf unmöglich wäre.“

Und diese Regel hat er dann auf das Internet übertragen?

Das Internet ist schon häufig mit einem „globalen Dorf“ verglichen worden, und Mordelli glaubt, dass sich die Regeln deshalb direkt übertragen lassen. Er nennt das „Segreto di Pulcinella“ – das Geheimnis des Pulcinella. Pulcinella ist eine Figur aus der italienischen „Comedia dell’arte“, einer alten Theaterform, die im 16. Jahrhundert auf den Jahrmärkten entstand und die Geschichten erzählt, die jeder in Italien kennt. In einer von ihnen erzählt jemand Pulcinella ein Geheimnis, schärft ihm aber ein: „Erzähle es bloß nicht weiter – es ist ein Geheimnis!“ Der arme Pulcinella kann keine Geheimnisse für sich gehalten, also erzählt er es nacheinander jedem der anderen Figuren im Stück, immer mit dem Hinweis, es sei geheim, also nicht weitersagen! Am Ende wissen alle Schauspieler, und natürlich auch das Publikum, genau was das Geheimnis ist, aber sie spielen weiter und tun so, als wüssten sie es nicht, was zu allerlei komischen Verwicklungen führt.

Sie erwähnten den Vergleich des Internet als „globales Dorf“. Was bedeutet dieser Vergleich für Sie?

Das ist erschreckend klar und begründet sich in der Technik, die wir täglich nutzen: Jeder weiß, wo jeder gerade ist. Jeder weiß, wer wir sind. Jeder weiß, was wir gerade machen. Und last but not least: unter normalen Umständen tun alle so, als ob sie nicht wüssten, wo wir sind, wer wir sind und was wir gerade machen.

Und wie hängt diese Geschichte nun mit dem Datenschutz von heute zusammen?

„Der moderne Datenschutz ist ein Segreto di Pulcinella“, sagt Mordelli. Daten hätten nun mal den Drang, sich zu fortzubewegen. Das wissen alle in der IT, aber sie tun so, als wüssten sie es nicht. Man gibt viel Geld aus für Schutzmaßnahmen wie Firewalls und Antivirensoftware, aber ob das wirklich etwas nützt, wenn ein unzufriedener Mitarbeiter Daten mit nach Hause nimmt und sie an WikiLeaks (oder an die Konkurrenz) weitergibt, sei fraglich. Das ist dann peinlich, eventuell sogar schädlich, aber es sei eben der Preis, den wir für die Segen des Digitalzeitalters zu zahlen haben. Man könne versuchen, sich davor zu schützen, besser sei es aber, wenn man mit dem Schlimmsten rechne und sich darauf entsprechend vorbereite. Und wenn etwas – Pucinella hin, Pulcinella her – unbedingt geheim bleiben muss? Ganz einfach, sagt Mordelli mit einem charmanten italienischen Lächeln: „Nun – dann speichern sie es am besten gar nicht auf dem Computer…“

Sie haben vier Thesen aufgestellt, die vom Segreto di Pulcinella ausgehen. Wie lauten sie?

Erstens: Alle Geheimnisse in der Informationsgesellschaft sind Pulcinella-Geheimnisse. Es gibt nichts, was wirklich unbekannt ist.

Zweitens: Pulcinella-Geheimnisse in der IT sind nicht trivial. Sie können sogar von großer Tragweite sein. Ihre Relevanz hängt nicht von ihrem Status ab, sondern von der Rolle, die sie als Machtfaktor in der Gesellschaft und bei zwischenmenschlichen Beziehungen spielen.

Drittens: Der Wert einer Information leitet sich aus ihrem Nutzwert ab. Wer eine Information zuerst anwenden kann, hat den größten Nutzen.

Viertens: Geheimnisse bleiben nur Geheim, wenn der Besitzer mächtig genug ist, sie geheim zu halten oder andere zu zwingen, so zu tun, als ob sie geheim wären.

Das klingt sehr nach den Lehren, die wir von Wikileaks kennen.

Richtig! Wikileaks hat für spektakuläre Enthüllungen gesorgt und über 500.000 Dokumente veröffentlicht. Doch wurden damit wirklich Geheimnisse verraten? Oder vielmehr Informationen öffentlich zugänglich gemacht, auf die unsere Gesellschaft einen Anspruch hat!? Geheimnisse sind Dinge, die wir für geheim halten oder die wir als geheim bezeichnen. Das heißt nicht, dass sie wirklich geheim sind. Ihr Wert liegt nicht darin, ob sie geheim sind oder nicht, sondern darin, welche Macht von ihnen ausgeht.

Heißt das unter dem Strich, dass wir mit „Pulcinella“ leben müssen,  Datenschutz bzw. Datensicherheit nicht möglich sind und deshalb keine Risikovorsorge diesbezüglich treffen sollte?

Ein klares Ja zum ersten Teil Ihrer Frage: wir werden mit Pulcinella leben müssen. Ein eindeutiges Nein zum Thema Datenschutz.

Es geht zunächst um das Bewusstsein, die Erkenntnis, dass nichts mehr wirklich geheim gehalten werden kann. Wir können es uns also einfach machen. Daher sage ich immer: Was nicht geheim gehalten werden muss, sollte öffentlich gemachte werden. Das erste Gebot einer Informationsgesellschaft ist Publizität. „Information wants to be free“! Information ist eine Ware und will als solche in Umlauf gebracht werden. Dinge, die einst geheim gehalten wurden, werden in der Informationsgesellschaft zunehmend öffentlich, weil das in der Natur einer solchen Gesellschaft liegt.

Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten. Dafür gibt es Dinge wie Datenschutz, Privatheit und Gesetze zum Schutz geistigen Eigentums.

Risiken zu erkennen und Risikomanagement zu betreiben ist ohne Wenn und Aber ein muss für jeden Unternehmer und privaten Nutzer. Aber statt sich um den Schutz von Systemen sollte sich die IT mehr um den Schutz von Informationen kümmern. Ich empfehle da immer wieder eine starke Zugangskontrolle und ein wirkungsvolles Identity Management. Unternehmen und Organisationen müssen auf den “Worst Case” vorbereitet sein.

Was raten Sie zum Thema Datensicherheit?

Beim Thema Datensicherheit geht es im Grundsatz um zwei Punkte. Erstens den Schutz vor Datendieben und zweitens den Schutz vor selbst verschuldetem Datenverlust. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist zwar regelmäßig darauf hin, dass die Zahl der gezielten Angriffe auch auf die Daten von kleinen und mittleren Unternehmen immer stärker zunimmt. Trotzdem gilt: Das Problem sitzt oft genug vor dem Computer.

Daher ist es unerlässlich die Risiken richtig einzuschätzen und angemessen darauf reagieren. Dazu sollte  man sich zunächst einen Überblick über die wichtigsten Firmenwerte verschaffen.

Sind erst einmal die größten Risiken erkannt, lassen sich daraus relativ einfach einige Sicherheitsrichtlinien ableiten – sowohl für das Arbeiten auf dem eigenen Desktop als auch im Netzwerk. Diese Sicherheitsrichtlinien sollten in Form einer Betriebsvereinbarung verbindlich eingeführt und zum Bestandteil jedes Arbeitsvertrags gemacht werden. Ein weiterer Baustein ist die Passwort- und Zugangsverwaltung bzw. Identitätsverwaltung. Jeder weiß heute, dass ein normales Passwort oder ein Zahlencode in keinster Weise ausreicht. Er ist in Sekunden geknackt. Sicherer sind da andere Systeme wie Iris-, Fingerprint- oder Venen-Scans. Wenn nachvollziehbar ist, welcher Mitarbeiter wann und von wo auf welche Daten zugegriffen hat, schreckt dies potenzielle Datendiebe genauso ab wie „Datenchaoten“, die es mit der korrekten Sicherung nicht so genau nehmen.

Und dann?

Als Nächstes sollten konkrete technische Maßnahmen folgen. Der Umfang der Maßnahmen hängt dabei natürlich vom Wert der zu schützenden Daten ab. Technische Ansätze zur Absicherung von Firmeninformationen unterteilen sich prinzipiell in die vier Bereiche Anti-Virus-Software/Software-Updates, Backups, Kryptografie und ausfallsichere Stromversorgung.

Wie sieht es mit einem Plan für den Notfall aus?

Der Plan für den Notfall ist ebenfalls elementarer Baustein jedes guten Sicherheitskonzepts. Dazu gehört zunächst einmal die Definition: Was ist ein Notfall? Nicht jede kaputte Festplatte ist ein Daten-Gau. Oftmals lassen sich Ausfälle von Computern oder Netzwerken durch geplante Maßnahmen, zum Beispiel durch Ersatzbeschaffung, in kurzer Zeit beheben. Der wahre Notfall tritt erst dann ein, wenn innerhalb der erforderlichen Zeit keine Wiederherstellung der Verfügbarkeit möglich ist und sich daraus ein messbarer Schaden ergibt. Das Sicherheitskonzept sollte diese kritische Grenze beschreiben, damit schon bei Eintritt eines Ereignisses, das zu einem Notfall führen könnte, die erforderlichen Maßnahmen ergriffen und der Schaden in Grenzen gehalten werden kann.

Wer ist für die Sicherheit verantwortlich?

Sicherheit im Internet-Zeitalter ist zunächst Aufgabe des Managements. Sie betrifft alle Unternehmensbereiche, jeden einzelnen Mitarbeiter. Sie hat mehr mit Menschenführung und weniger mit Hard- oder Software zu tun. 70 Prozent aller Fälle von Computerkriminalität sind auf eigene oder ehemalige Mitarbeiter zurückzuführen.

Ein letzter Satz von Ihnen.

Ich denke, aus alledem wird eines klar: Wir brauchen ganz offensichtlich schleunigst eine Diskussion um Regeln und Verantwortung nicht nur in der Technik und im Umgang mit Informationen, sondern auch darüber, wie wir als Informations-Gesellschaft damit umgehen wollen.

Vielen Dank für das Gespräch!

Über Tim Cole:

Tim Cole (65) ist US-amerikanischer Staatsbürger und lebt seit 1961 in Deutschland. Der Journalist kann auf eine 40-jährige Tätigkeit im Pressebereich zurückblicken, die er 1970 mit einem Volontariat bei der Heidelberger „Rhein-Neckar-Zeitung“ begann. Von 1990 bis 1995 die Redaktionsgruppe Multimedia der Motor-Presse Stuttgart. Von 1997 bis 1999 war er Chefredakteur des Wirtschaftsmagazins NET-Investor. Heute wohnt und arbeitet Tim Cole in St. Michael im Lungau (Salzburg) als Internet-Publizist. Seine Beiträge, Kommentare und Kolumnen erscheinen in führenden Wirtschaftsmagazinen, Tageszeitungen, Fachpublikationen und Internet-Zeitschriften. Als Buchautor („Unternehmen 2020 – das Internet war erst der Anfang“, erschienen bei Hanser; „Erfolgsfaktor Internet“, Econ) und häufiger Referent bei Seminaren und Firmenevents steht er im laufenden intensiven Dialog mit Führungskräften aus Wirtschaft, Politik und Finanzen. Schwerpunktmäßig beschäftigt er sich heute mit Themen aus dem Bereich Technologie und Wirtschaft. Als Hobby-Barkeeper hat Cole auch mehrere Bücher über Cocktails bei GU veröffentlicht, darunter auch „Sommerdrinks“, das bis heute das meistverkaufte Rezeptbuch über Mixgetränke ist. Außerdem moderiert der Redner kompetent und charmant Unternehmensveranstaltungen zu Themen aus dem High-Tech-Bereich.
Weitere Informationen: Wikipedia