Bevor der "Spiegel" vom 16. September an die Kioske kam, hatte sich in der Öffentlichkeit eigentlich schon eine gewisse Abstumpfung eingestellt. Unsere Daten sind nirgendwo mehr sicher, so die Überzeugung. FacebookFacebook, GoogleGoogle, Anbieter von Cloud-Services, schon lange verdächtig, sind die schlimmsten Datenschleudern, und deutschen Schlapphüte arbeiten beim Datenabgleich seit Jahren mit ihren US-Kollegen zusammen. Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de

So weit, so schlecht. Aber was dann im "Spiegel" zu lesen war, überstieg doch die Vorstellungskraft der meisten: Nach Informationen des Whistleblowers Edward Snowden überwacht der US-Geheimdienst nämlich auch den weltweiten Zahlungsverkehr. Transaktionsdaten von Kreditkarten würden ausgespäht, unter anderem von VISA, schrieb das Nachrichtenmagazin. Angezapft würde auch die Brüsseler Genossenschaft Swift, über die der Zahlungsverkehr zahlreicher europäischer BankenBanken läuft. Mitglieder des Europäischen Parlaments sprachen in diesem Zusammenhang von "offenem Rechtsbruch". Top-Firmen der Branche Banken

Spätestens bei dieser Meldung stellte sich die Frage: Haben wir wirklich alles, was in den zurückliegenden Monaten öffentlich wurde, im Grunde schon vorher gewusst? Oder hätten zumindest alle, die mit der Materie von Berufs wegen befasst sind, es vorher wissen können, wie Kommentatoren immer und immer wieder schrieben? Hans-Joachim Popp, CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR) in Köln, sagt dazu einerseits: "Ja, wir haben es alle gewusst und seit vielen Jahren mit der entsprechenden Argumentation unsere Infrastruktur gestaltet." Er sagt aber auch: "Wenn es dann bewiesen ist, dann ist es doch ein Schock." Und: "Wir sind zu sehr auf das deutsche Rechtssystem geeicht, nachdem der Zugriff auf Daten immer nur anlassbezogen und mit voller Aufmerksamkeit der Firmenleitung erfolgt. Ein kontinuierliches Mitschneiden im Hintergrund war aber nicht wirklich vorstellbar. Wie wir jetzt wissen, eine naive Haltung."

Wir wollten wissen, wie CIOs auf jenen Schock, von dem Hans-Joachim Popp sprach, reagieren, und haben deshalb einer Reihe von ihnen fünf Fragen gestellt. Die Antworten zeugen, vereinfacht gesprochen, vor allem davon, dass CIOs weder mit einer baldigen Lösung der Probleme rechnen noch sich viel Hilfe von außen erhoffen. Und sie zeigen, dass das Thema intern heftig diskutiert wird. Wie und mit welchen Ergebnissen, das dokumentieren wir im Folgenden anhand der gestellten Fragen.

1. Die IT-Dienstleister

Was erwarten Sie bezüglich der Späh-Affäre von den großen Softwareanbietern und IT-Dienstleistern?

Einige US-Anbieter waren schon zu Beginn der Affäre in den Fokus von Vorwürfen und Ängsten gerückt. Durch ein geleaktes Dokument wurde öffentlich, dass Google, Microsoft, Yahoo, AppleApple und andere am Überwachungsprogramm PRISM teilhaben und dem US-Geheimdienst NSA Zugang zu Nutzerdaten wie Suchhistorien oder den Inhalten von E-Mails, Dateitransfers und Live Chats verschaffen. Alle in der Quelle genannten Anbieter haben anschließend dementiert, vorsätzlich und bewusst im Zusammenhang mit PRISM Nutzerdaten weitergegeben zu haben. Ob aber - von welchem Unternehmen auch immer - unbemerkt und systematisch Daten abgesaugt und ausgewertet werden, blieb und bleibt unklar, auch für CIOs. Alles zu Apple auf CIO.de

Für Hans-Joachim Popp vom DLR hat die Affäre "vor allem gezeigt, wie wenig sich die Dienstleister bisher mit diesen Problemen auseinandergesetzt haben". Hanno Thewes, CIO des Saarlandes, hat die Hoffnung nicht aufgegeben, dass sich diese Situation ändern wird. "Ich erwarte, dass insbesondere die US-amerikanischen Hersteller und Dienstleister Maßnahmen ergreifen, um Glaubwürdigkeit und Integrität zu vermitteln. Für die europäischen Abnehmer aus dem öffentlichen Sektor ist es vor allem notwendig, dass Angebote gemacht werden, die rechtlich und technisch vollständig im europäischen Raum gekapselt werden können."

Till Rausch, CIO des Rüstungskonzerns Thales Deutschland, ist - nicht nur an diesem Punkt - weit weniger optimistisch: "Ich gehe davon aus, dass die großen Anbieter weiterhin dem Druck der Regierungsorganisationen nachgeben und Backdoors einbauen. Deshalb müssen Unternehmen zusätzliche Schutzmaßnahmen zur Sicherung ihrer Informationen ergreifen. Ich setze hier auf Sicherheitsmechanismen von kleinen Drittanbietern zum Beispiel aus Deutschland." Auf diesen "deutschen Weg" werden wir später noch zu sprechen kommen.

2. Die Politik

Was erwarten Sie von der Politik?

Anlässlich der PRISM-Affäre hatte die Bundeskanzlerin - mehr als 20 Jahre nach Erfindung des World Wide Web - gesagt, das Internet sei "für uns alle Neuland". Solch demonstrative Ahnungslosigkeit wirkt auch auf CIOs wenig beruhigend. Hans-Joachim Popp vom Deutschen Zentrum für Luft- und Raumfahrt fällt dazu noch die USA-Reise von Innenminister Friedrich ein. "Er fliegt in die USA und fragt die Verantwortlichen, ob sie illegale Dinge tun. Dann kommt er zurück und sagt: Alles in Ordnung, sie haben gesagt, sie machen nichts Illegales." Die Politik müsse endlich begreifen, dass "das Rechtssystem und die staatlichen Organisationen den rasanten technischen Entwicklungen weit hinterherhinken".

Thales-CIO Till Rausch glaubt, dass es falsch wäre, "darauf zu warten, dass die Politik Lösungen für unsere Sicherheitsanforderungen anbietet. Und es besteht die Gefahr, dass übertriebene Regelungen die Wettbewerbsfähigkeit der deutschen Wirtschaft negativ beeinflussen."

Saarland-CIO Hanno Thewes setzt naturgemäß etwas größere Hoffnungen in den Staat: "Die Politik muss international verbindliche Mindestanforderungen für den DatenschutzDatenschutz schaffen. Auch die Befugnisse der Geheimdienste müssen in einem Mindestmaß international reguliert werden. Hier genügen keine nationalen oder europäischen Lösungen." Alles zu Datenschutz auf CIO.de

3. Verbände und Bundes-CIO

Was erwarten Sie von den Verantwortlichen der Verbände, also zum Beispiel vom CIO-Anwenderverband Voice, vom BSI, vom Bitkom, von der Allianz für Cyber-Sicherheit. Und was von der Bundes-CIO Cornelia Rogall-Grothe?

"Ich würde erwarten, dass die Verbände ihrer Rolle als Moderator der Diskussion zwischen IndustrieIndustrie und Politik bezüglich der Sicherung der Kommunikationsinfrastruktur des Landes und der Erhaltung der industriellen Selbstverantwortung und Wettbewerbsfähigkeit kompetent nachkommen", findet CIO Rausch von Thales. Top-Firmen der Branche Industrie

Hans-Joachim Popp vom DLR sieht die Rolle der verschiedenen Institutionen sehr unterschiedlich. "Dem Voice-Verband wird eine Schlüsselrolle zukommen. Er verbindet nämlich als einziger Verband das nötige Know-how und die Interessen der Anwenderunternehmen miteinander. Die Politik spricht aber bislang in erster Linie mit dem Bitkom, der ja von US-Unternehmen dominiert ist. Es ist völlig klar, dass der Bitkom der Bundesregierung hier nicht als glaubwürdiger Berater zur Seite stehen kann." Die Allianz für Cyber-Sicherheit hält Popp dagegen für einen sehr wichtigen Schritt.