Alles also halb so wild? Fakt ist, dass der US-amerikanische Auslandsgeheimdienst NSA flächendeckend den Telefon- und Internetverkehr mithört. Amerikanische Unternehmen wie GoogleGoogle, Facebook oder MicrosoftMicrosoft helfen den Ausspähern dabei - ob ungewollt oder bewusst im Rahmen gesetzlicher Regelungen wie des Patriot Acts ist unklar und hier ohne Belang. Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de

"Unternehmen müssen generell und immer mit Wirtschaftsspionage rechnen", meint Matthias Zacher, Senior Consultant bei IDC. Den mutmaßlichen Schaden durch Wissens- oder Datendiebstahl beziffert der Bundesverband der Deutschen IndustrieIndustrie (BDI) auf immerhin rund 50 Milliarden Euro jährlich. Allerdings weist der BDI darauf hin, dass dahinter nicht nur der NSA, sondern weitere "befreundete" Geheimdienste etwa aus Frankreich und Großbritannien sowie weniger freundliche aus Russland oder China steckten. Zum Vertrauensverlust in moderne Technologien wie Cloud ComputingCloud Computing oder Big Data kommen damit also auch handfeste materielle Schäden. "Nachrichtendienste betreiben ein Ausmaß der Aufklärung, das wir erst begreifen müssen", warnt BDI-Geschäftsführer Markus Kerber in der "Süddeutschen Zeitung". "Die NSA-Affäre war der Sputnik-Schock für die deutsche Wirtschaft." Alles zu Cloud Computing auf CIO.de Top-Firmen der Branche Industrie

Und so wie der Sputnik-Schock Ende der 1950er-Jahre die USA nicht nur auf den Mond brachte, sondern unter anderem auch zur Gründung des Internet-Vorläufers ARPANET führte, könnte der NSA-Skandal nun wiederum für positive Effekte sorgen.

Analyse statt Hysterie

Zum einen wird eine ernsthafte Beschäftigung mit möglicher Wirtschaftsspionage durch NSA und andere dazu führen, die Hysterie aus dem Thema zu nehmen und den Blick auf die eigentlichen Bedrohungen zu schärfen. "Das Hauptinteresse der NSA gilt weniger den Enterprise-Diensten wie Office 365Office 365 oder Salesforce", meint der Analyst Martin Kuppinger im Gespräch mit dem CIO-Magazin. "Im Fokus stehen eher Consumer-Angebote wie Google, FacebookFacebook oder Skype." Zum anderen gebe es einen Unterschied zwischen den Aussagen "Die NSA kann potenziell alles entschlüsseln" und "Die NSA entschlüsselt alles". Auch wenn Ersteres stimmt, bedeute das noch nicht, dass die NSA flächendeckend alle Unternehmen komplett abhören würde, so Kuppinger. IDC-Analyst Matthias Zacher ergänzt diese These: "Wenn der NSA eine Datei wichtig genug erscheint, wird sie diese entschlüsseln. Für die allermeisten der Dateien in der Cloud gilt das aber sicher nicht, weil der Aufwand viel zu groß sein dürfte. Es geht also letztlich um die Abwehr konkreter Angriffsszenarien, nicht um die Angst vor diffusen, wie auch immer gearteten Spionageaktivitäten." Alles zu Facebook auf CIO.de Alles zu Office 365 auf CIO.de

Bessere Abwehr gegen das Abhören ist möglich - da sind sich die Experten einig, obwohl oder gerade weil die Abwehrmöglichkeiten in den Unternehmen oft viel zu selten genutzt werden. Sicherheit ist oft genug ein Stiefkind, das meistens als Erstes verstoßen wird, wenn die IT nach ihrem Beitrag zu Unternehmenserfolg und -effizienz gefragt wird.

So ist es zum Beispiel durchaus möglich, die wirklich wichtigen Daten eines Unternehmens über Verschlüsselung bei Übertragung und Ablage vor allzu einfachem Zugriff von außen zu schützen. Oder es ist sinnvoll, auf die Übertragung solcher Daten an Empfänger in der Cloud gleich ganz zu verzichten. "Die Unternehmen wissen durchaus um den Wert ihres Know-hows", meint IDC-Analyst Zacher. "Sie wissen, wo die Mitbewerber sitzen und welche Informationen für diese von Interesse sind." Insofern sei es möglich, sich mit gezielten Maßnahmen vor dem Ausspähen wertvoller Unternehmensdaten zu schützen. Vor der Klassifizierung der Unternehmensdaten in kritisch, wichtig oder weniger wichtig steht eine profunde Risiko-Analyse: "Erkennen, welche Daten überhaupt gefährdet sind und geschützt werden müssen, ist wichtig", rät Martin Kuppinger. "Ich muss als Unternehmen wissen, was ich relativ unbesorgt irgendwo ablegen kann und was ich besonders sorgfältig schützen muss." Aufgrund dieser Analysen könnten Unternehmen dann konkrete und differenzierte Schutzmaßnahmen ergreifen.

Selbstverpflichtung für mehr Schutz

Nicht nur die gewachsene Awareness für das Thema Datensicherheit wäre also eine positive Folge des NSA-Skandals, die aus Sicht sammelwütiger Geheimdienste das bisher bequeme Ausspähen ins Gegenteil verkehren könnte. Zu den positiven Aspekten der Affäre gehört auch die Chance für Unternehmen aus Deutschland, aus Europa, ja sogar aus den USA, sich als wahre Hüter von Privacy und Datensicherheit zu präsentieren. So wie die Allianz, die als Versicherer viele sensible Daten vorhalten muss. Nach den Worten ihres CIOs Ralf Schneider "hat das Unternehmen Privacy und IT-Security schon immer zu einem ihrer wichtigsten Themen gemacht". Das könnte dem Versicherungskonzern nun nützen. "Entscheidend ist, die Privatsphäre des Kunden zu schützen und sein Vertrauen zu erhalten. Das bedeutet, und wird auch in Zukunft bedeuten, die eine oder andere Geschäftsidee nicht umzusetzen und erhebliche Investitionen in die Datensicherheit zu tätigen", so der CIO in seiner Jahrbuch-Wette.

Dass Datensicherheit in der Cloud nach deutschen und europäischen Sicherheitsstandards durchaus als Wettbewerbsvorteil angesehen werden könne, bestätigt eine Mehrheit von 56 Prozent deutscher Mittelständler in einer Umfrage von techconsult. Experten wie Martin Kuppinger oder Matthias Zacher warnen allerdings davor, diesen Wettbewerbsvorteil überzubewerten. "Mittelfristig rechne ich damit", so IDC-Analyst Zacher, "dass die Sicherheitsdiskussion wieder in den Hintergrund treten wird. Dann geht es wieder um die Vorteile der Cloud, die sich allen Kritiken zum Trotz durchsetzen wird, weil die Vorteile für die Unternehmen eventuelle Sicherheitsprobleme überlagern werden, die man zudem ja auch managen kann."

Auch Martin Kuppinger empfiehlt mehr Gelassenheit im Umgang mit dem Thema: "Unternehmen sollten nicht einfache Wege gehen und zum Beispiel einfach einen deutschen Cloud-Provider wählen, sondern über eine Analyse erst einmal ihre eigenen Risiken genau kennenlernen und dann die passenden Schritte unternehmen." Das könne am Ende durchaus in einer Public Cloud münden, für spezielle Daten auch in einer Private Cloud. Mit den richtigen Sicherheitsanalysen und Maßnahmen sei es mittelfristig dann zweitrangig, ob das über einen deutschen oder amerikanischen Provider geschehen würde.

Weitere Wetten finden Sie im CIO-Jahrbuch 2014 Jahrbuch 2014 - Neue Prognosen zur Zukunft der IT IDG Business Media GmbH 2013, 301 Seiten, 39,90 Euro PDF-Download 34,99 Euro zum CIO-Shop