Die Frage mit der sich CEOs auseinandersetzen müssen

"So..., wie halten wir es denn nun mit dem Thema Verschlüsselung?"

Das ist eine Frage, davon kann man getrost ausgehen, die in den kommenden Monaten in ziemlich vielen Vorstandsetagen und bei Meetings der Geschäftsführung gestellt werden wird. Sei es, wenn die nächsten Ergebnisse besprochen werden, oder das nächste Grundsatzreferat ansteht. Es ist definitiv eine Frage mit der sich CEOs früher oder später auseinandersetzen müssen. Aber warum ist das so? Wieso hat das Thema eine derartige Karriere gemacht? Und was sagen Wille und Bereitschaft der Betreffenden, das Thema zu adressieren darüber aus, wie es tatsächlich um den unternehmensweiten Datenschutz bestellt ist?

Natürlich sind Datenschutzverletzungen kein neues Phänomen. Aber es ist eine Bedrohung, die kontinuierlich weiter ansteigt. Schätzungen gehen davon aus, dass über zehn Milliarden Datensätze weltweit seit 2013 gestohlen wurden, annähernd 300 verloren gegangene oder gestohlene Datensätze in jeder einzelnen Sekunde. Das ist kein ganz triviales Problem: die Kosten eines durchschnittlichen Datenschutzvorfalls belaufen sich inzwischen auf nahezu vier Millionen US-Dollar. Der langfristige Ruf- und Imageschaden ist hier noch gar nicht berücksichtigt. Besonders alarmierend ist, dass das mit diesen Vorfällen verbundene Risiko ebenfalls steigt. Zum einen befördert durch den Variantenreichtum der Bedrohungen zum anderen aufgrund der zunehmenden Schwere der Sicherheitsrisiken. Dazu kommt, dass das kollektive Verständnis vom Wert unserer persönlichen Daten auch deutlich gestiegen ist. Und genau diese Kombination erhöht den Druck auf Unternehmen, den Datenschutz noch ernster zu nehmen.

Arne Sorenson ist der CEO des Tourismusgiganten Marriott. Sorenson hat den massiven Datenschutzvorfall, von dem über 380 Millionen Marriott-Kunden betroffen waren, kommentiert. Und nicht nur das. Er hat mit seinem Kommentar die Debatte auf das Thema Verschlüsselung gelenkt: "Wir haben dafür Sorge zu tragen, dass Daten verschlüsselt werden. Und wir haben sicherzustellen, dass Menschen darauf vertrauen können, dass wir ihre Daten nur behalten, weil wir mit diesen Daten arbeiten müssen." Ein weiterer Sprecher des Konzerns fügte später noch hinzu, dass man sich auf die universelle Verschlüsselung von Reisepassnummern konzentrieren wolle. 

Die Geschichte ist natürlich auch eine Erinnerung in Sachen Datenschutz an die Kunden. Man darf sich ruhig bei seinen Reisen daran erinnern, dass Hacker keinen Urlaub machen. Wir sind daran gewöhnt uns auf Reisen mit diversen Maßnahmen vor Taschendieben zu schützen. Genauso wichtig ist es aber sich um die eigene digitale Sicherheit zu kümmern. Erst einmal davon auszugehen, dass sämtliche Netzwerke feindselig sind, ist nicht der schlechteste Weg sich vor unnötigen Gefahren zu schützen – das schließt Hotels, Flughäfen und Cafés ein. Es mag durchaus verführerisch sein sich in ein kostenfreies W-LAN einzuloggen um die Kosten für das Daten-Roaming zu sparen. Ein unverfänglich wirkender Netzwerkname kann aber genauso gut für ein getarntes, feindliches Netz stehen. Will man unterwegs auf die Segnungen des Internets nicht verzichten, verwendet man am besten einen Virtual Private Network (VPN)-Dienst um sich und seine Online-Aktivitäten vor potenziellen Hackern und Schnüfflern zu abzuschirmen.

Aber diese Verpflichtung beschränkt sich nicht allein auf Reisende. Der Datenschutzvorfall bei Marriott hat uns gezeigt, dass dort zwar die vertraulichen Kreditkartendaten der Kunden verschlüsselt worden waren, nicht aber die gespeicherten Passwörter. Ein Fakt, der einem potenziellen Identitätsdiebstahl Tür und Tor öffnet.

Die oben zitierte Antwort von Marriott wird vielleicht die neue Normalität in der Tourismusbranche vorgeben: sämtliche vertrauliche Daten von Reisenden sollten verschlüsselt werden. Es geht in der Branche inzwischen um mehr, als komfortable und ereignisreiche Reisen anzubieten. Die Veranstalter sind vielmehr dringend gehalten ihren Beitrag zum Schutz der sensiblen Daten zu leisten, die man ihnen anvertraut hat.

Die digitale Transformation tut ein Übrigens, dass vertrauliche Daten einem zunehmend höheren Risiko ausgesetzt sind als bisher. Das belegen die in der letzten Woche veröffentlichten Ergebnisse unseres Thales 2019 Global Data Threat Report (Link). 97 % der Befragten gaben an, die digitale Transformation bereits auf die eine oder andere Weise umzusetzen. Demgegenüber nutzen aber lediglich erschreckende 30 % der Befragten eine Verschlüsselungsstrategie.

 Unternehmen sollten diese Zahlen durchaus als Weckruf verstehen. Datenschutzverletzungen können zu einem entscheidenden Moment für die Geschäftstätigkeit eines Unternehmens und ihres Führungspersonals werden. Aber das können auch die Schritte in Richtung eines Cyber-Resilienz-Planes, bevor es zu spät ist. Wir reden hier nicht mehr von einem „nice to have“, sondern schlicht von Business as usual. Daten sind das neue schwarze Gold und ohne eine grundsolide Antwort auf die „Verschlüsselungsfrage“ bleiben diese Daten verwundbar.