„Deutsche Firmen sind ein bevorzugtes Spionageziel“

OBERMICHELBACH - Spätestens seit das Handy von Bundeskanzlerin Angela Merkel vom US-Geheimdienst NSA abgehört wurde, ist das Thema Datenspionage in aller Munde. Wer hört wann was und warum? Wie schützt man sich? Norbert Rauch, geschäftsführender Inhaber der Firma atarax aus Obermichelbach, beschäftigt sich seit nunmehr 20 Jahren mit diesen Themen, und zwar mit Blick auf den Datenschutz und die Informationssicherheit in Unternehmen.

Herr Rauch, haben Sie die Enthüllungen um die NSA schockiert?

Norbert Rauch: Für uns Sicherheitsberater ist das Thema NSA überhaupt nichts Neues, es ist seit langem bekannt, was technisch alles möglich ist. Wir sind vielleicht etwas verwundert, dass die Politik aus allen Wolken gefallen ist.

Wie beraten Sie Firmen in Sachen Sicherheit?

Rauch: Man kann grundsätzlich zwei Dinge unterscheiden. Das eine ist der Datenschutz, bei dem es um die Persönlichkeitsrechte der Angestellten, Kunden oder sonstigen Privatpersonen geht. Das andere ist die Informationssicherheit. Also: Arbeitet meine EDV verlässlich, und sind wichtige Daten, etwa zu Patententwicklungen, gut geschützt?

Datenschutz wird immer wichtiger. Ist das für Unternehmen leicht handhabbar?

Rauch: Es ist machbar, aber nur dann, wenn man rechtzeitig die Hausaufgaben gemacht hat. Es geht ja darum, dass sich ein Unternehmen möglichst gut davor schützt, dass aus Versehen Daten in falsche Hände geraten, Stichwort Adressenhandel. Hier geht es sehr schnell um Haftungsfragen und auch drohende Bußgelder. Sie sind da immer schnell in einem strafrechtlich relevanten Bereich, wenn gesetzliche Vorschriften nicht eingehalten werden.

Haben Sie ein Beispiel?

Rauch: Die Videoüberwachung. Es kommt immer mal wieder vor, dass ein Bürger bemerkt, dass er gefilmt worden ist. Es gibt hier klare Vorschriften, was geht und was nicht. Sobald bei der zuständigen Aufsichtsbehörde etwas angezeigt worden ist, ist es die Verpflichtung des betroffenen Unternehmens, bis ins Detail darzulegen, was es da macht. Da ist es nur ratsam, schon vorher genau zu wissen, was überhaupt erlaubt ist.

Und das geschieht offenbar nicht immer?

Rauch: Große Firmen können sich eigene Sicherheitsabteilungen leisten, da kann man davon ausgehen, dass die das im Griff haben. Bei kleineren und mittleren Firmen muss man manchmal befürchten, dass das Thema Datenschutz nicht ernst genug genommen wird.

Die ganze Materie wird aber auch immer komplizierter.

Rauch: Richtig, deshalb beschäftigten viele Firmen ja auch externe Datenschutzbeauftragte. So wie wir es von atarax sind. Zu unseren Kunden gehören zum Beispiel Playmobil, S.Oliver, Leica oder die Firma Diehl.

Ab wann braucht man einen Datenschutzbeauftragten?

Rauch: Ab einer Größe von zehn Personen muss eine Firma einen Datenschutzbeauftragten ernennen, ob intern oder extern. Unter dieser Zahl ist das nicht notwendig, allerdings heißt das nicht, dass dort nicht genauso die Vorschriften gelten. Die Vorsorge für den Datenschutz muss dann der Chef selbst übernehmen. Keine leichte Aufgabe.

Wenn Sie beauftragt werden für das Gesamtpaket Unternehmenssicherheit, gehen Sie dann in die Firma und sagen, diese oder jene Sicherheits-Software muss angeschafft werden?

Rauch: Nein. Unser Ansatz ist umfassender, denn Sicherheit hat nicht nur etwas mit Abwehr-Software zu tun. Unser Leitspruch heißt „Strategie vor Organisation und Organisation vor Technik“.

Technische Abwehr ist gar nicht so wichtig?

Rauch: Doch natürlich, aber erst geht es um ganz andere Dinge. Um es an einem banalen Beispiel festzumachen: Ihnen hilft die teuerste Schutzsoftware nichts, wenn unter die Tastatur das Passwort geklebt wird. Der Ansatz kann nur sein, die Mitarbeiter zu schulen und ihnen bewusst zu machen, um was es hier wirklich geht. Wir gehen die Unternehmenssicherheit ganzheitlich an. Und wenn wir beim Thema Industriespionage sind, dann geht das eben nicht nur über Hackerangriffe.

Wie geht es denn noch?

Rauch: Das ist manchmal viel banaler, als man denkt. Da ist das geklaute Notebook des Außendienstmitarbeiters, der am Rastplatz seine Autotür nicht zugesperrt hat, oder den „Tag der offenen Tür“ in einem Unternehmen, der ja geradezu eine Einladung für Datendiebe darstellt, wenn das Unternehmen nicht die notwendige Vorsorge getroffen hat.

Wer klaut denn – mal ganz praktisch gesehen – die Daten? Mitarbeiter anderer Firmen?

Rauch: Es gibt einen grauen Markt für ausspionierte Firmendaten. Es gibt nichts, was es nicht gibt. Es ist auf alle Fälle so, dass deutsche Firmen aufgrund ihrer Wirtschaftsstärke ein bevorzugtes Ziel sind. Und während die Konzerne sich mittlerweile mit hohem Aufwand schützen, ist vor allem der Mittelstand bedroht. Zumal es ja die Tendenz gibt, dass Neuentwicklungen zunehmend von den Konzernen auf die Zulieferbetriebe verlagert werden. Und auf diese Neuentwicklungen haben es Datenspione ja vor allem abgesehen.

Was machen Sie, wenn einer der Firmen, die Sie beraten, einmal Daten abhanden gekommen sind?

Rauch: Dann wird versucht, das nachzuverfolgen und vor Gericht zu bringen. Das ist schwer, vor allem, weil Firmen einen Datenverlust manchmal erst zwei, drei Jahre später überhaupt merken. Je besser man vorbereitet ist,desto höher die Chancen, einen Datenklau frühzeitig zu bemerken.

Nimmt die Komplexität bei Datenschutz und Informationssicherheit weiter zu?

Rauch: Ich fürchte ja. Es gibt Gesetze, die sich zum Teil widersprechen, neue Gesetze zum Thema sind oft so abstrakt, dass sie erst durch Richtersprüche in konkreten Fällen interpretiert werden müssen. Mittlerweile haben wir acht Volljuristen bei uns beschäftigt, um alle rechtlichen Aspekte abdecken zu können. Das ist ja eine weitere Schwierigkeit unserer Arbeit: Wir müssen mit den Firmen manchmal von Fall zu Fall abwägen, wie die Gesetzeslage im konkreten Fall zu deuten ist. Denn übertreiben darf man ja auch nichts, die Firma muss ja handlungsfähig bleiben und Geld verdienen.

Ihre Firma kümmert sich nicht nur um Datensicherheit, sondern ganz allgemein um das Notfall- und Krisenmanagement eines Unternehmens. Spielt es da eine Rolle, dass Sie auch Kreisbrandinspektor im Landkreis Erlangen-Höchstadt sind?

Rauch: Ja, Sicherheit ist schon immer mein Thema. Es geht darum sicherzustellen, dass in einer Krise, was auch immer sie hervorruft, der Geschäftsbetrieb aufrechterhalten werden kann, Haftungsfragen schon vorher geklärt sind und durch eine passende Struktur und Organisation die richtigen Antworten gegeben werden können.

Sie engagieren sich mit Ihrem Wissen auch in der Jugendfeuerwehr.

Rauch: Sie meinen die Aktion, die ich zusammen mit der Jugendfeuerwehr Mittelfranken und dem Bayerischen Landesamt für Datenschutzaufsicht initiiert habe? Hier geht es darum, Jugendlichen rechtzeitig klarzumachen, was mit ihren Daten, die sie ins Netz stellen, passieren kann. An oberster Stelle steht auch hier die Vorbeugung. Gerade Jugendliche müssen sich mit dem Thema auseinandersetzen. Wenn sie dann später in einer Firma mit Daten anderer Personen umgehen, sind sie sensibilisiert.