Thought Leadership
Wieder einmal ist ein Datenleck bei einem großen Techunternehmen bekannt geworden. In diesem Falle trifft es Microsoft. Monatelang waren vertrauliche Daten von rund 65.000 Unternehmen, die mit Microsoft in Geschäftsbeziehungen stehen, öffentlich einsehbar.
Wie beispielsweise golem berichtet, geht es um Daten wie Namen, E-Mail-Adressen, E-Mail-Inhalte, Firmennamen und Telefonnummern sowie Dateien, die im Zusammenhang mit Geschäften zwischen den betroffenen Kunden und Microsoft oder einem autorisierten Microsoft-Partner stehen. Es handelt sich um einen schwerwiegenden Fall von Datenschutzverletzung, der grundsätzliche Fragen aufwirft.
Ein Kommentar von Elmar Eperiesi-Beck, CEO und Gründer von eperi.
„Der erneute Fall einer Datenschutzverletzung durch ein großes Techunternehmen verdeutlicht vor allem zwei Probleme, ein technisches und ein gesetzgeberisches bzw. regulatorisches. Das technische: Wenn es selbst einem der führenden IT-Unternehmen nicht gelingt, seine Systeme ordnungsgemäß zu konfigurieren, wie soll das einem durchschnittlichen Anwenderunternehmen oder einer Behörde gelingen, die über weit weniger Sachkenntnis verfügen? Im aktuellen Fall war nicht einmal eine Cyberattacke für das Datenleck verantwortlich. Die vertraulichen Daten sind „einfach so“ in der Öffentlichkeit gelandet. Unternehmen und Behörden sollten den Fall als Wink mit dem Zaunpfahl verstehen, ihre vertraulichen Daten auf eine Weise zu speichern und zu sichern, die sie auch im Falle einer Fehlkonfiguration oder eines gelungenen Hacker-Angriffs schützen. Datenverschlüsselung ist das Mittel der Wahl.
Das regulatorische Problem offenbart sich am nonchalanten Umgang Microsofts mit dem Vorfall. Nicht nur behauptet das Unternehmen, es handle sich nicht um eine Sicherheitslücke, sondern nur um einen Konfigurationsfehler. Als ob ein falsch konfiguriertes System keine Sicherheitslücke wäre! Darüber hinaus kommuniziert Microsoft nur äußerst unzureichend mit den betroffenen Unternehmen und teilt diesen nicht einmal mit, welche Daten öffentlich geworden sind. Offenbar kommt das Unternehmen auch nicht seiner gesetzlichen Verpflichtung nach, die zuständigen Regulierungsbehörden zu informieren. Anscheinend, weil es sich ja angeblich nicht um eine Sicherheitslücke handelt. Zieht man ähnliche Fälle aus der Vergangenheit zum Vergleich heran, ist zu befürchten, dass Microsoft für dieses Fehlverhalten nicht ernsthaft belangt wird. Und dass ein europäisches Unternehmen gegen einen US-Konzern in diesem Fall Chancen auf Regress hätte, bleibt reiner Wunschtraum.
Angesichts dieser Kombination aus technischen und regulatorischen Problemen sollten sich deutsche Unternehmen und Behörden ernsthaft diese Frage stellen: War es eine so dumme Idee der Europäischen Datenschutzgrundverordnung, dass Organisationen ihre Daten amerikanischen Unternehmen nur unter Anwendung zusätzlicher technischer und organisatorischer Maßnahmen anvertrauen? I don’t think so!“
