Datenschutz in
deutschen Unternehmen

Nach Aufdeckung der systematischen Überwachung des Telefon- und Internetverkehrs durch den amerikanischen Nachrichtendienst NSA stellt sich auch für deutsche Unternehmen die Frage, inwieweit sie von diesen Überwachungsmaßnahmen betroffen sind.

Anfang Juni erklärte der US-Bürger Edward Snowden, dass die National Security Agency (NSA) Verbindungsdaten amerikanischer Telefonanbieter sowie mit Hilfe eines Programms namens „Prism“ alle Daten der in den USA ansässigen IT-Unternehmen Microsoft, Google, Yahoo, Skype, Facebook, Youtube, AOL, Apple und PalTalk abrufe. Viele deutsche Unternehmen stellen sich nun die Frage inwieweit auch sie von Prism betroffen sind.

Sind deutsche Unternehmen von „Prism“ betroffen?

Da große Teile des weltweiten Internetverkehrs über amerikanische Dienstleister abgewickelt werden, stellt sich die Frage, ob und inwieweit auch deutsche Unternehmen von dieser Überwachung betroffen sind.
Grundsätzlich muss davon ausgegangen werden, dass jeder ausländische Nutzer eines in den USA ansässigen Internetdienstes potentiell durch die NSA überwacht werden kann. Die Überwachung bezieht sich dabei insbesondere auch auf jegliche Kommunikation, die außerhalb der USA stattfindet, aber über ein US-Unternehmen abgewickelt wird. Dies betrifft E-Mails, Chats, VoIP-Kommunikation, Zugriffe auf Webseiten und vor allem auch auf Cloudservern gespeicherte Daten.

Es besteht die Möglichkeit, dass auf diese Weise sensible Unternehmensdaten amerikanischen Behörden zur Kenntnis gelangen, ohne dass klar ist, ob und in welcher Weise diese Daten dort genutzt oder weitergegeben werden. Über das Ausmaß der Nutzung und die Kriterien, nach denen Informationen gefiltert, gesichtet und ausgewertet werden, gibt es keine sicheren Erkenntnisse.

Können sich Unternehmen dagegen absichern, dass ihre Daten überwacht werden?

Vorab

Deutsche Unternehmen, und damit auch in Deutschland ansässige Tochterunternehmen amerikanischer Firmen, dürfen Daten nur nach Maßgabe deutscher Rechtsnormen auf Anforderung deutscher Sicherheits- und Strafverfolgungsbehörden übermitteln. Eine Tätigkeit deutscher Unternehmen auf Anforderung ausländischer Behörden wäre ein Verstoß gegen deutsches Telekommunikations- und Datenschutzrecht. Es ist aber nicht auszuschließen, dass auch über deutsche Dienstleister abgewickelte Kommunikation in diesem Zusammenhang heimlich überwacht wird.

Weiterhin

Die nachfolgend dargestellten Maßnahmen bieten keine hundertprozentige Garantie, dass die elektronische Kommunikation eines Unternehmens nicht durch Nachrichtendienste, Strafverfolgungs- oder Sicherheitsbehörden überwacht wird. Absolute Sicherheit im Netz gibt es nicht. Zumindest kann mit diesen Verhaltensweisen aber ein gewisses Maß an Sicherheit erreicht werden, auch vor der Ausspähung durch Kriminelle.

  • Nutzung von Anbietern, die nicht in den USA ansässig sind: E-Mail- und Cloud-Provider, die in Deutschland sitzen, unterliegen deutschem Datenschutzrecht und dürfen daher nicht auf Anforderung eines ausländischen Nachrichtendienstes tätig werden. Da allerdings viele Internetverbindungen ohnehin über die USA laufen, bietet dies nur unzureichenden Schutz vor einer Überwachung durch die NSA.

  • Verschlüsselung von E-Mails: E-Mails werden unverschlüsselt durch das Internet gesendet. Sensible Inhalte sollten daher vor dem Absenden verschlüsselt werden, beispielsweise durch eine OpenSource-Software wie OpenPGP.

  • Verschlüsselung von Cloud-Inhalten: Auch wenn Daten, die auf einen Cloudserver hochgeladen werden, verschlüsselt übertragen werden, liegen sie auf dem Server unverschlüsselt. Daher sollten sensible Daten vor der Übertragung auf den Server offline verschlüsselt werden. Auch hierfür gibt es zuverlässige OpenSource-Programme wie z.B. Truecrypt. Im Zweifel sollte darauf verzichtet werden, vertrauliche Informationen online zu speichern und lieber in eigenen Speicherplatz investiert werden.

  • Soweit es nicht angebracht ist, auf einzelnen Arbeitsplatzrechnern innerhalb eines Unternehmens entsprechende Software zu installieren, können Internetdienste, die eine serverseitige Verschlüsselung anbieten, eine Alternative sein. Hierbei ist aber zu beachten, dass deutsche Anbieter bei Vorliegen der gesetzlichen Voraussetzungen Sicherheits- und Strafverfolgungsbehörden im Einzelfall Zugang auch zu verschlüsselten Inhalten gewähren müssen. Und auch hier besteht die Möglichkeit, dass die Kommunikation über die USA läuft und damit auf diesem Teilstück der Übermittlungsstrecke abgefangen werden kann.

  • Grundsätzlich gilt, dass alle genannten Maßnahmen innerhalb eines Unternehmens mit den entsprechenden unternehmensinternen Verhaltensmaßregeln abgestimmt sein müssen, insbesondere unter Einbeziehung der IT-Abteilung erfolgen müssen.


Autor: Axel Geiling, mehr Infos unter: www.dihk.de

Wo führt das hin?

Die Visualisierung zeigt exemplarisch wie bei der Nutzung populärer Dienste Datenpakete durch die Leitungen wandern - und auf diesem Weg von verschiedenen Geheimdiensten abgegriffen werden könnten. mehr

Themenfelder

Datenschutz in
deutschen Unternehmen

Nach Aufdeckung der systematischen Überwachung des Telefon- und Internetverkehrs durch den amerikanischen Nachrichtendienst NSA stellt sich auch für deutsche Unternehmen die Frage, inwieweit sie von diesen Überwachungsmaßnahmen betroffen sind.

Anfang Juni erklärte der US-Bürger Edward Snowden, dass die National Security Agency (NSA) Verbindungsdaten amerikanischer Telefonanbieter sowie mit Hilfe eines Programms namens „Prism“ alle Daten der in den USA ansässigen IT-Unternehmen Microsoft, Google, Yahoo, Skype, Facebook, Youtube, AOL, Apple und PalTalk abrufe. Viele deutsche Unternehmen stellen sich nun die Frage inwieweit auch sie von Prism betroffen sind.

Sind deutsche Unternehmen von „Prism“ betroffen?

Da große Teile des weltweiten Internetverkehrs über amerikanische Dienstleister abgewickelt werden, stellt sich die Frage, ob und inwieweit auch deutsche Unternehmen von dieser Überwachung betroffen sind.
Grundsätzlich muss davon ausgegangen werden, dass jeder ausländische Nutzer eines in den USA ansässigen Internetdienstes potentiell durch die NSA überwacht werden kann. Die Überwachung bezieht sich dabei insbesondere auch auf jegliche Kommunikation, die außerhalb der USA stattfindet, aber über ein US-Unternehmen abgewickelt wird. Dies betrifft E-Mails, Chats, VoIP-Kommunikation, Zugriffe auf Webseiten und vor allem auch auf Cloudservern gespeicherte Daten.

Es besteht die Möglichkeit, dass auf diese Weise sensible Unternehmensdaten amerikanischen Behörden zur Kenntnis gelangen, ohne dass klar ist, ob und in welcher Weise diese Daten dort genutzt oder weitergegeben werden. Über das Ausmaß der Nutzung und die Kriterien, nach denen Informationen gefiltert, gesichtet und ausgewertet werden, gibt es keine sicheren Erkenntnisse.

Können sich Unternehmen dagegen absichern, dass ihre Daten überwacht werden?

Vorab

Deutsche Unternehmen, und damit auch in Deutschland ansässige Tochterunternehmen amerikanischer Firmen, dürfen Daten nur nach Maßgabe deutscher Rechtsnormen auf Anforderung deutscher Sicherheits- und Strafverfolgungsbehörden übermitteln. Eine Tätigkeit deutscher Unternehmen auf Anforderung ausländischer Behörden wäre ein Verstoß gegen deutsches Telekommunikations- und Datenschutzrecht. Es ist aber nicht auszuschließen, dass auch über deutsche Dienstleister abgewickelte Kommunikation in diesem Zusammenhang heimlich überwacht wird.

Weiterhin

Die nachfolgend dargestellten Maßnahmen bieten keine hundertprozentige Garantie, dass die elektronische Kommunikation eines Unternehmens nicht durch Nachrichtendienste, Strafverfolgungs- oder Sicherheitsbehörden überwacht wird. Absolute Sicherheit im Netz gibt es nicht. Zumindest kann mit diesen Verhaltensweisen aber ein gewisses Maß an Sicherheit erreicht werden, auch vor der Ausspähung durch Kriminelle.

  • Nutzung von Anbietern, die nicht in den USA ansässig sind: E-Mail- und Cloud-Provider, die in Deutschland sitzen, unterliegen deutschem Datenschutzrecht und dürfen daher nicht auf Anforderung eines ausländischen Nachrichtendienstes tätig werden. Da allerdings viele Internetverbindungen ohnehin über die USA laufen, bietet dies nur unzureichenden Schutz vor einer Überwachung durch die NSA.

  • Verschlüsselung von E-Mails: E-Mails werden unverschlüsselt durch das Internet gesendet. Sensible Inhalte sollten daher vor dem Absenden verschlüsselt werden, beispielsweise durch eine OpenSource-Software wie OpenPGP.

  • Verschlüsselung von Cloud-Inhalten: Auch wenn Daten, die auf einen Cloudserver hochgeladen werden, verschlüsselt übertragen werden, liegen sie auf dem Server unverschlüsselt. Daher sollten sensible Daten vor der Übertragung auf den Server offline verschlüsselt werden. Auch hierfür gibt es zuverlässige OpenSource-Programme wie z.B. Truecrypt. Im Zweifel sollte darauf verzichtet werden, vertrauliche Informationen online zu speichern und lieber in eigenen Speicherplatz investiert werden.

  • Soweit es nicht angebracht ist, auf einzelnen Arbeitsplatzrechnern innerhalb eines Unternehmens entsprechende Software zu installieren, können Internetdienste, die eine serverseitige Verschlüsselung anbieten, eine Alternative sein. Hierbei ist aber zu beachten, dass deutsche Anbieter bei Vorliegen der gesetzlichen Voraussetzungen Sicherheits- und Strafverfolgungsbehörden im Einzelfall Zugang auch zu verschlüsselten Inhalten gewähren müssen. Und auch hier besteht die Möglichkeit, dass die Kommunikation über die USA läuft und damit auf diesem Teilstück der Übermittlungsstrecke abgefangen werden kann.

  • Grundsätzlich gilt, dass alle genannten Maßnahmen innerhalb eines Unternehmens mit den entsprechenden unternehmensinternen Verhaltensmaßregeln abgestimmt sein müssen, insbesondere unter Einbeziehung der IT-Abteilung erfolgen müssen.


Autor: Axel Geiling, mehr Infos unter: www.dihk.de

Wo führt das hin?

Die Visualisierung zeigt exemplarisch wie bei der Nutzung populärer Dienste Datenpakete durch die Leitungen wandern - und auf diesem Weg von verschiedenen Geheimdiensten abgegriffen werden könnten. mehr

Themenfelder

Die Förderinitiative „eKompetenz-Netzwerk für Unternehmen“ wird im Rahmen des Förderschwerpunkts „Mittelstand-Digital“
vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert.