Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

EU Flagge Binaercode 500

Das Münchner Start-up Brabbler AG ist angetreten, die Übermacht US-amerikanischer Kommunikations- und File-Sharing-Dienste in europäischen Unternehmen zu brechen. Fabio Marti, Director B2B Business Development & Marketing bei Brabbler, über die Gefahren von WhatsApp, Dropbox und Co. und die Anforderungen an europäische Alternativen.

Herr Marti: Was stört Sie an Diensten wie WhatsApp und Dropbox?

Erstens, dass es sich dabei nicht um europäische Lösungen handelt, und zweitens die mangelnde Sicherheit sowie der laxe Umgang mit Daten. Es ist ja kein Geheimnis, dass beispielsweise WhatsApp umfassende Metadaten ausliest, etwa die Kontaktdaten aus dem Adressbuch, und dann an Facebook weitergibt.

Wenn Mitarbeiter solche Tools nutzen, setzt das die Unternehmen großen Risiken aus. Das gilt zum einen in Hinsicht auf Compliance. Auf den Handys der Mitarbeiter befinden sich ja in der Regel personenbezogene Daten über Kollegen, Kunden oder Partner. Wenn diese Daten ausgelesen werden, ist das mit den deutschen und europäischen Datenschutzgesetzen nicht vereinbar. Ab dem Inkrafttreten der neuen europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 können für solche Verstöße dann auch hohe Strafen winken. Zum anderen besteht die Gefahr, Betriebsgeheimnisse zu verlieren, wenn zum Beispiel Präsentationen oder Tabellen über Cloud-Dienste mit unzureichender Verschlüsselung wie Google Drive, Dropbox oder Skype ausgetauscht werden. Damit sind sie potentiell von den Anbietern auslesbar, und diese Möglichkeit wird auch genutzt. Oft gehört es ja gerade zum angepriesenen Mehrwert, dass die Dienste für die Nutzer mitdenken und antizipieren. Das können sie aber nur, wenn sie die Inhalte kennen. Eine unzureichende Verschlüsselung erleichtert aber natürlich auch Hackern das Geschäft.

Für Unternehmen gibt es häufig auch explizite, kostenpflichtige Business-Versionen solcher Dienste, die mehr Datenschutz versprechen. Was ist davon zu halten?

Angesichts des, sagen wir mal, ,entspannten’ Verhältnisses, das in den USA im Umgang mit fremden Daten herrscht, bleibe ich auch bei diesen skeptisch. Nach allem, was wir durch die Berichterstattung der letzten Jahre wissen, müssen wir davon ausgehen, dass US-amerikanische Behörden umfassenden Zugang zu den Daten haben, die auf US-amerikanischen Servern liegen. Damit ist der Wirtschaftsspionage Tür und Tor geöffnet. Bei dem zunehmend protektionistischen Kurs, den die US-Politik fährt, und in Zeiten von ,America First’ ist es weiß Gott nicht abwegig, dass die ohnehin vorhanden Datenschätze auch genutzt werden, um der heimischen Wirtschaft Wettbewerbsvorteile zu verschaffen. Und so kann es dann kommen, dass sich der baden-württembergische Anbieter einer weltweit einzigartigen Maschine plötzlich mit einem ähnlichen Konkurrenzprodukt aus Ohio konfrontiert sieht. Cyberspionage betrifft ja schon längst nicht mehr nur die großen Konzerne. Jedes Unternehmen, auch im mittelständischen Bereich, hat Geheimnisse, die für andere Unternehmen und Staaten von großem Interesse sein können.

Die Unternehmen können ihren Mitarbeitern diese Dienste ja einfach verbieten.

Das bringt nicht viel. Diese Strategie wurde ja in vielen Unternehmen jahrzehntelang gefahren. Mit dem Ergebnis, dass Mitarbeiter solche Dienste trotzdem nutzen ¬– und so eine Schatten-IT schaffen, welche die IT-Abteilung dann gar nicht mehr kontrollieren kann. Die Mitarbeiter müssen und werden mit modernen Tools arbeiten, und wenn nötig, machen sie das eben an der IT vorbei. Denn tun sie das nicht, dann verzichten sie auf die Produktivitäts- und Effizienzvorteile, die solche Tools ja zweifellos haben. Dass sie damit ihren Arbeitgeber großen Gefahren aussetzen, beispielsweise gegen Gesetze zu verstoßen oder ausspioniert zu werden, wissen die wenigsten. Deshalb braucht es dringend deutsche oder europäische Alternativen, die den nötigen Sicherheits- und Datenschutzstandards genügen. Das sollte auch im Interesse unseres gesamteuropäischen Wirtschaftsraums sein. Wir dürfen die Hoheit über unsere Daten nicht komplett aus der Hand geben, denn sie sind der wertvollste Rohstoff, den wir haben.

Wie müssen diese Alternativen aus Ihrer Sicht aussehen?

Zunächst einmal muss die Usability stimmen, denn die Mitarbeiter sind die glattpolierten, intuitiven Bedienoberflächen ihrer Privat-Apps gewohnt. Eine hochsichere Lösung bringt nichts, wenn sie von den eigenen Mitarbeitern nicht akzeptiert wird. Dann sehen diese sich nämlich wieder nach eigenen Tools um und man ist wieder da, wo man angefangen hat. Außerdem sollten die Dienste ausschließlich in Europa gehostet werden, idealerweise in Deutschland, denn dann unterliegen sie den strengsten Datenschutzbestimmungen der Welt. Zu guter Letzt sollten solche Alternativen die Daten, die sie handhaben, umfassend verschlüsseln.

Was zeichnet solch eine ,umfassende’ Verschlüsselung aus? Welche Technologien sollten zum Einsatz kommen?

Das fängt damit an, dass die Übertragung der Daten nicht nur durch Punkt-zu-Punkt-, sondern durch Ende-zu-Ende-Verschlüsselung geschützt wird. Nur dann ist ausgeschlossen, dass es Zwischenstationen gibt, an denen die Inhalte im Klartext vorliegen und ausgelesen werden können. Aber auch die ruhenden Daten auf den Endgeräten der User und dem Server des Anbieters sollten verschlüsselt werden. Entscheidend ist dabei, dass alle Schlüssel beim Unternehmen selbst generiert und verwaltet werden, damit es die komplette Datenhoheit behält. Das lässt sich mit hierarchischen Verschlüsselungsmethoden sicherstellen. Selbst wenn der Anbieter die Daten auf seinen Servern einsehen wollte, könnte er es damit nicht – weil er sie gar nicht entschlüsseln kann.

Für welche Dienste genau sehen Sie hier einen Bedarf?

Im Grunde genommen betrifft das alle Tools, die Mitarbeiter eines Unternehmens zur Kommunikation und zum Austausch von Dateien benötigen. Damit sie diese Tools aber auch wirklich verwenden und nicht doch weiterhin still und heimlich WhatsApp und Co. an der IT vorbei einsetzen, sollten sie auch jedem einzelnen Nutzer einen Mehrwert bieten, und nicht nur dem Unternehmen oder dem IT-Verantwortlichen. Wir beispielsweise verfolgen deshalb bei der Kommunikationsplattform, die wir derzeit entwickeln, einen integrierten Ansatz. Sie soll diverse produktive Kommunikationstools über mobile Geräte und Desktops hinweg anbieten, damit sie sich komfortabel, unkompliziert und ohne Medienbruch nutzen lassen. Da diese den Endnutzer effektiv bei der Arbeit unterstützen, werden sie auch genutzt und geben dem Unternehmen damit die Gewissheit einer hundertprozentig sicheren und vertraulichen Kommunikation.

Wie ist der aktuelle Stand Ihrer Plattform?

Die erste Version für Privatnutzer ist derzeit unter dem Namen ginlo in einer öffentlich zugänglichen Beta-Phase und erlaubt Interessierten den sicheren Austausch von Nachrichten, Dateien, Bildern und Videos. Die Geschäftskundenversion wird darüber hinaus einen Desktop-Client und Funktionen zur Verwaltung von Nutzern und verschiedenen Sicherheitsaspekten mitbringen. Diese Businesslösung pilotieren wir momentan mit einigen Kunden und sammeln Feedback für die weitere Entwicklung. Wer sich daran beteiligen möchte, kann unter www.ginlo.net gerne Kontakt zu uns aufnehmen. Die offizielle Verfügbarkeit der Geschäftskundenlösung ist für den Jahresbeginn 2018 geplant. 

www.brabbler.ag

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet