Risikomanagement im Zeitalter von Datenleaks

Risikofaktor Wikileaks


Risikomanagement im Zeitalter von Datenleaks News

Mit der Ankündigung der Veröffentlichung der Botschaftsdepeschen sorgte die Enthüllungsplattform Wikileaks für einigen Wirbel. Die US-Regierung suchte seitdem Verbündete im Kampf gegen die Enthüllungsplattform Wikileaks, und die großen US-Unternehmen standen ihr bereitwillig zur Seite. Zunächst war es der Handelskonzern Amazon, der Anfang Dezember die von Wikileaks wenige Tage zuvor veröffentlichten Cablegate-Dokumente ohne juristischen Zwang von ihren Miet-Servern verbannte. Tags darauf schaltete der Internet-Dienstleister EveryDNS.net die Internetadresse www.wikileaks.org ab. Mit dem Hinweis auf Verstöße gegen ihre Allgemeinen Geschäftsbedingungen sperrten nacheinander der Internet-Bezahldienst Paypal sowie die Kreditkartenunternehmen Mastercard und VISA Geldkonten, auf die Wikileaks direkt oder indirekt Zugriff hatte. WikiLeaks-Gründer Julian Assange liess im Programm des australischen TV-Senders Channel 7 seine Mutter Christine Assange eine Mitteilung vorlesen. Darin kritisierte Assange die Kreditkartenunternehmen Visa und Mastercard sowie das Bezahlsystem PayPal dafür, dass sie ihre Zusammenarbeit mit WikiLeaks eingestellt haben. "Wir wissen jetzt, dass Visa, Mastercard und PayPal Instrumente der US-Außenpolitik sind", heißt es in der Erklärung. "Das haben wir vorher nicht beachtet", fügte Assange hinzu, der seit etwa einer Woche im britischen Gefängnis sitzt.

Die Entscheidungen der Firmen gegen Wikileaks bergen jedoch ein hohes Reputationsrisiko. So mögen sie zwar zunächst politischer Konsequenzen in den USA aus dem Weg gegangen sein, setzen jedoch gleichzeitig das für die Internet-Branche essenzielle Vertrauen bestehender und potenzieller Kunden aufs Spiel. Die Reputation ist nichts anderes als die Summe von Einzelerwartungen und -erfahrungen über die Vertrauenswürdigkeit und Kompetenz eines Unternehmens oder auch einer Person. Es ist eine Binsenweisheit, dass ein gute Unternehmensreputation ein wichtiger immaterieller Vermögensgegenstand und eine zentrale Quelle von Wettbewerbsvorteilen ist. Der Aufbau und die Weiterentwicklung des "guten Rufs" dauert oft Jahre oder Jahrzehnte. Umgekehrt kann jedoch die Reputation in Windeseile beschädigt oder gar gänzlich zerstört werden. Wenn die Gerüchteküche brodelt, ist es für Unternehmen höchste Zeit einzugreifen, bevor Themen in der Öffentlichkeit ihre eigene Eigendynamik gewinnen.

Cyberschlacht um Wikileaks

Über Social-Media-Plattformen wie Twitter und Facebook sowie Internet-Blogs solidarisierte sich im Anschluss eine Vielzahl von Internetnutzern mit Wikileaks. Der Protest der Nutzer zeigte sich in den nicht nur durch die medial überpräsenten Angriffe auf die Webseiten der oben genannten Unternehmen, sondern vielfach auch durch offenes Aufkündigen der Geschäftsbeziehungen oder Kontenschließungen. Darin zeigt sich vor allem, dass die Internetnutzer auch immer kritischer beobachten, ob die ethischen und moralischen Werte des Unternehmens mit ihren eigenen in Einklang stehen.

Gerade Amazon könnte seinem Geschäftszweig "Amazon Web Services", welcher so genannte  "Cloud-Computing"-Dienste verkauft, einen Bärendienst erwiesen haben. Denn immer mehr Unternehmen lagern Teile ihrer Daten aus und vertrauen sie den großen Rechenzentren externer Dienstleister wie Amazon oder Google an. Das hat für die Firmen Vorteile, da sie sich nicht das zur Datenhaltung benötigte Know-How aneignen sowie die Serverkapazitäten selbst bereitstellen müssen. Auch wenn alleine der deutschen Cloud-Computing-Branche einer Studie zufolge bis 2015 ein Erlös von acht Milliarden Euro vorhergesagt wird: Für Unternehmen ist gerade die Sicherheit und Verfügbarkeit bei der Aufbewahrung digitaler Daten ein so sensibles Thema, dass jede Entscheidung gegen einen Kunden abschreckend wirkt.

Nachahmer stehen bereits in den Startlöchern

Unternehmen wie Amazon müssen stattdessen zeigen, dass sie in erster Linie dem Kunden gegenüber und der Erbringung der vereinbarten Dienstleistung verantwortlich sind. Denn Wikileaks wird Nachahmer finden und diese werden die genannten Unternehmen erneut vor unbequeme Entscheidungen stellen.  Noch in diesem Monat soll beispielsweise die Plattform openleaks.org starten, welche als toter Briefkasten für Hinweise auf Missstände dienen soll. 

Die Warnungen vor den Gefahren durch Wikileaks – insbesondere auf der politischen Bühne aber auch von etablierten Medien – sind vergleichbar mit Don Quijotes Kampf gegen die Windmühle(n). Während Wikileaks unter massivem Druck steht, entstehen an anderer Stelle bereits neue Enthüllungsplattformen. Zwar lehnt sich der Name Openleaks an Wikileaks an, doch die Strategie und das Geschäftsmodell der neuen Plattform unterscheidet sich in wesentlichen Punkten. So sollen Dokumente nicht seitens der Betreiber veröffentlicht werden, sondern die Medien oder auch Gewerkschaften oder Menschenrechtsgruppen haben Zugriff auf ein System toter Briefkästen. Die Informant bestimmt selbst, wer die Informationen erhält. Mitgründer Daniel Domscheit-Berg begründet die Trennung gegenüber dem US-Magazin "Forbes": "Um die Macht der Seite einzuschränken, trennen wir die Übermittlung von der Veröffentlichung."

Unternehmen sind sich dem Risiko von Datenleaks häufig nicht bewusst

Die jüngsten Veröffentlichungen von Wikileaks können als Dammbruch in der Informationssicherheit und im Risikomanagement betrachtet werden. Wikileaks eröffnet unloyalen – oder frustrierten - Mitarbeitern eine Plattform, auf der sie mit einem geringen eigenen Risiko sowie maximaler Öffentlichkeitswirkung einen massiven Schaden verursachen können. So wurde mit Wikileaks nach eigenen Angaben ein System "für die massenweise und nicht auf den Absender zurückzuführende Veröffentlichung von geheimen Informationen und Analysen" geschaffen. Bei der Veröffentlichung findet weder eine Zensur noch eine Qualitätssicherung statt. So wurden in der Vergangenheit auch klar als Fälschung erkennbare Dokumente veröffentlicht (vgl. Thomas Thiel: Internet-Aufklärer "Wikileaks": Diese Dokumente bergen Sprengstoff. Frankfurter Allgemeine Zeitung, 6. März 2008).

So hatte Wikileaks Gründer Julian Assange vor wenigen Wochen angekündigt, dass Anfang kommenden Jahres Informationen zu einigen Banken geplant seien, die "ein oder zwei Banken in den Abgrund reißen" würden. Assange verglich die Brisanz der Informationen mit den Enron-E-Mails, die im Jahr 2001 einen der größten Unternehmensskandale auslöste, welche die US-Wirtschaft bislang erlebt hatte. Durch die Insolvenz wurde mit einem Schlag ein Börsenwert von 60 Mrd. US-Dollar vernichtet. Die jüngsten Ankündigungen führten dazu, dass die Aktien der Bank of America und von Goldman Sachs stark unter Druck gerieten. Bereits im Jahr 2009 hatte Assange in einem Interview gesagt, Wikileaks besitze massenhaft Dokumente über Internas der Bank of America.

Politisches Urteil zum Datendiebstahl

In den vergangenen Jahren hat der Staat ein fatales Signal gegeben: Datendiebstahl lohnt sich und es ist ein einfacher Weg Millionär zu werden. Rückendeckung erhält der Staat vom obersten Verfassungsgericht. Der deutsche Fiskus darf die gestohlenen Daten der LGT-Gruppe des Fürsten von Liechtenstein für Ermittlungen gegen Steuersünder nutzen. Zu diesem Schluss kam erst vor wenigen Wochen das Bundesverfassungsgericht in Karlsruhe. Die deutschen Verfassungsrichter äußerten in ihrer Urteilsbegründung keinerlei Bedenken zu der Nutzung von illegal beschafften Daten. Die Richter ließen zwar ausdrücklich offen, ob der Erwerb der Daten möglicherweise rechtswidrig oder sogar strafbar gewesen war. Sie verwiesen auf den Grundsatz, dass Beweismittel im Einzelfall auch dann verwertet werden können, wenn sie auf rechtswidrige Weise erlangt wurden. Der Staat demgegenüber wog zwei Rechtsgüter gegeneinander auf: Hehlerei gegen die Interessen des Fiskus. Und aus der Sicht des Staates rechnet sich der Deal: Die illegal beschafften Daten deutscher Steuerhinterzieher spülten bis zum Frühjahr 2010 allein durch Selbstanzeigen im Fall der Vaduzer Bank LGT Treuhand  insgesamt 626 Millionen Euro in die Kassen.

Mit seiner Entscheidung für den Kauf der Daten von Kriminellen legitimiert der Staat indirekt den Datendiebstahl in Unternehmen. Diese Entwicklung ist aus der Perspektive des Risikomanagements alarmierend und kann in Unternehmen zu einer existenzbedrohenden Krise führen. Unternehmen sollten erkennen, dass Informationssicherheit im Kopf der Mitarbeiter beginnt. In der Praxis fehlt häufig eine gelebte Sicherheits- beziehungsweise Risikokultur.

Informationssicherheit und auch (IT-)Risikomanagement wird in der Praxis leider vielfach als rein operative "Risikobuchhaltung"  betrachtet und gelebt. Man erfasst die Risiken durch einen Blick in die Vergangenheit (in der es weder Wikileaks noch Openleaks gab) und glaubt damit für die Zukunft gewappnet zu sein. Entscheider sollten heute die Ressourcen auf das ernsthafte Nachdenken über die wesentlichen kritischen Zukunftsszenarien und Risiken lenken – und weniger in einer vergangenheitsorientierten Risikobuchhaltung. Dies erfordert ein breites Verständnis, interdisziplinärer Zusammenarbeit und auch andere Methoden, beispielsweise szenariobasierte Ansätze.

Risikokultur: Ein weicher Faktor mit harten Folgen

Ein Unternehmensverhalten, das in den Augen der Kunden oder Investoren ein Fehlverhalten ist, führt (wenigstens temporär) zu einem spontanen Reputationsverlust. Daher sollten sich Unternehmen mit einer guten Reputation nicht in Sicherheit wägen: es gibt keinen "Reputationskredit". In der Zukunft werden sich Unternehmen vor allem verstärkt mit Reputationsrisiken in "virtuellen Welten" beschäftigen müssen. In der folgenden Abbildung ist dargestellt, wie der Meinungsbildungsprozess in einer "Google- bzw. Wikileaks-Gesellschaft" stattfindet. Zunächst wird ein Thema nur im kleinen "virtuellen" Rahmen diskutiert, bevor es schließlich von den Massenmedien aufgegriffen wird. In der Blogosphäre (Gesamtheit aller Weblogs) ist ein selbstreferentielles Netzwerk an gegenseitigen Verweisen entstanden, wodurch Reputationsthemen relativ schnell verbreitet werden und im Internetgedächnis lange gespeichert bleiben.

Das Management von Reputationsrisiken ist integraler Bestandteil einer Unternehmensführung. Eine adäquate Risikokultur ist das Spiegelbild einer gelebten Unternehmenskultur. Eine "gelebte" Kultur ist ein Wettbewerbsvorteil, weil Wettbewerber ihn nicht ohne weiteres kopieren können. Die Unternehmenskultur lenkt, wie Unternehmen mit ihren Kunden umgehen, ob Unternehmen innovationsstark sind oder ideenlos, ob die Organisation bürokratisch oder pragmatisch ist, ob alle an einem Strang ziehen oder ob sich jeder gegen jeden absichert und wie Risiken aktiv gesteuert werden.


 
Abbildung: Reputation in der Google- und Web2.0 und Wikileaks-Welt [Quelle: angelehnt an Zerfaß/Boelter, Die neuen Meinungsmacher, Graz 2005.]


[Bild oben: iStockPhoto]

Kommentare zu diesem Beitrag

WhiteHat /14.12.2010 20:44
Aktueller könnte der Beitrag nicht sein, Gerade habe ich gelesen, dass die Zahl der WikiLeaks-Unterstützer rasant wächst. Damit hat die US-Regierung wohl nicht gerechnet. Die Online-Petition von Avaaz.org wurde bis gestern von fast 600.000 Unterstützern unterzeichnet. In der Petition wird von den Initiatoren dazu aufgerufen, "die demokratischen Prinzipien und die Gesetze zur freien Meinungsäußerung und zur Pressefreiheit zu respektieren". Außerdem wird an die US-Regierung und weitere Länder appelliert, Repressionen gegen die Enthüllungsplattform WikiLeaks und seine Partner "sofort zu beenden".

Nun ja, vielleicht orientieren sich die USA an den Regierungen von China, Israel, Nordkorea, Russland, Simbabwe und Thailand. Die haben den Zugang zu WikiLeaks im Land gesperrt. Hat mit Demokratie eher wenig zu tun ...
WhiteHat /14.12.2010 21:28
@Johannes: Warum? Als Unterhaltungsprogramm? Oder als demokratisches Instrument?
Brigitte /14.12.2010 21:32
Die leichten Reputationskratzer werden bei Visa, Paypal & Co sehr schnell verheilen. Kritischer bewerte ich die Androhung von WIkileaks demnächst interne Dokumente aus der Finanzwelt zu veröffentlichen. Das dürfte den einen oder anderen Vorstand oder Aufsichtsrat noch in arge Bedrängnis bringen. Zumindest würde es mich nicht wundern, wenn dabei noch die eine und andere Überraschung hochkommen würde ... lassen wir uns überraschen!!
judi /14.12.2010 21:37
das ist die rache dafuer, dass demokratie nicht mehr funktioniert und sich politiker nicht wirklich fuer ihre buerger interessieren. @whitehat: du hast recht ... die zensur der genannten laender hat mit demokratie nicht viel zu tun. interessiert die meisten politiker und unternehmen aber nicht besonders ;-(
ich bin gespannt wie die geschichte weitergeht ...
Lucy /14.12.2010 23:14
Glaubt denn wirklich jemand, dass unser Globus durch Wikileaks freier und besser wird. Ich bin davon überzeugt, dass eher das Gegenteil passieren wird - die Welt wird schwieriger und intransparenter. Politiker und Regierungen werden ihr Kommunikationsverhalten verändern oder gleich das Internet zensieren (siehe China, Israel, Nordkorea, Russland, Simbabwe und Thailand). Wikileaks kann nicht die Aufgabe übernehmen eines investigativen Journalismus. Denn bei den Akteuren von Wikileaks vermisse ich jedes Gefühl von Verantwortung und sauberer Recherche - das überlässt man dann den Lesern. Das kann aber nicht funktieren, da die Qualitätskontrolle im Internet komplett fehlt.
Plötzlich ist man umgeben von Abermillionen von investigativ arbeitenden Hobby-Journalisten, die ihr Handwerk nicht besonders gut verstehen und vor allem ihr Ego in den Vordergrund stellen. Assange ist einer von denen ... eigentlich eine gescheiterte Persönlichkeit. Nun kann er in den anonymen Weiten des Internets seine Macht ausspielen ...
Ape /14.12.2010 23:30
Whistleblowing ist in Mode gekommen ... neben Openleaks (http://www.openleaks.org/) gehen weitere Whistleblower-Plattformen an den Start: Brussels Leak (http://brusselsleaks.com/), Privacybox (https://privacybox.de/) und so weiter ...
Susan /19.12.2010 07:34
Nun also auch die Bank of America - war ja nicht besonders überraschend. Die stehen ja auf der Abschussliste von Wikileaks. Die US-Großbank sperrt ab sofort alle Zahlungen an WikiLeaks. Die Begründung ist interessant: WikiLeaks sei möglicherweise in Aktivitäten verwickelt, die nicht mit den Firmenrichtlinien für die Abwicklung von Finanztransaktionen übereinstimmten. Nun denn, klingt eher nach Einknicken vor dem Druck der US-Regierung.
Wenn der Schuss mal nicht nach hinten losgeht. Als direkte Reaktion auf die Ankündigung der Bank of America forderte WikiLeaks per Twitter "alle Menschen, die die Freiheit lieben" auf, ihre Konten bei der Bank zu kündigen. Wikileaks-Gründer-Assange bezeichnete das Vorgehen der Bank als "neue Form des "McCarthyismus".

Das Programm - benannt nach dem Senator Joseph McCarthy - prüfte alle öffentlichen Bediensteten auf Verbindungen zu Kommunisten. Dabei konnten anonym erbrachte Beweise von den untersuchten Personen weder bestritten noch näher betrachtet werden. Ab 1951 war ein „angemessener Zweifel“ ausreichend, um einen Angestellten zu entlassen. ;-) Erinnert daher eher an die Hexenprozesse im Mittelalter und danach ...
Topics
Linked articles
Wahrnehmungsparadoxon bei Reputationsrisiken
Der gute Ruf als nachhaltiger Erfolgsfaktor
Internetnutzer schwanken zwischen Panik und Leichtsinn
Related articles
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.