Datenschutz-Report der Telekom beleuchtet lange unterschätztes Thema

Die Zeiten sind wieder einmal brisant für User wie Unternehmen: Millionen E-Mail-Adressen und Passwörter sind im Netz abgefisht worden, wie jüngst bekannt wurde, und der „Heartbleed“-Programmierfehler in der Verschlüsselungssoftware OpenSSL hat Sicherheitszertifikate (SSL) ausgehebelt - ein GAU für die Online-Geschäftswelt.

Solche Skandale und Sicherheitsrisiken können das Image eines Unternehmens ernsthaft beschädigen, zumal eines der Telekommunikationsbranche. Das weiß die Deutsche Telekom AG: 2008 erfuhr die Öffentlichkeit, dass im Jahr 2006 bei T-Mobile 17 Millionen Kundendaten entwendet worden waren und dass hochrangige Mitarbeiter des Unternehmens Aufsichtsräte, Gewerkschaftsfunktionäre und Journalisten von einer Detektei ausspähen ließen. Erst im März diesen Jahres wurde die juristische Aufarbeitung der Bespitzelungsaffäre abgeschlossen.

Separater Datenschutzbericht

Eine Reaktion des Vorstands der Telekom auf die damaligen Missstände: Man richtete im Oktober 2008 das Vorstandsressort Datenschutz, Recht und Compliance ein und wertete den Datenschutz sichtbar auf. Als erstes DAX-30-Unternehmen veröffentlichte der Konzern im April 2009 einen separaten Datenschutzbericht, der auch über die internen Maßnahmen nach Bekanntwerden der Affäre informierte. „Der Vorstand der Deutschen Telekom und der Datenschutzbeauftragte wollen damit der Öffentlichkeit signalisieren, dass die Deutsche Telekom beim Datenschutz auf Transparenz setzt“, kündigte das Unternehmen an. Diese Transparenz-Offensive hält seitdem an: Jährlich veröffentlicht die Telekom einen Datenschutzbericht, seit 2011 behandelt er auch das Thema Datensicherheit.

Ein ereignisreiches Jahr war 2013, daran erinnert die im Januar 2014 erschienene jüngste Ausgabe: Edward Snowden machte publik, in welchem bis dahin unvorstellbarem Ausmaß der US-Geheimdienst NSA weltweit Bürger selbst befreundeter Staaten ausspäht.

Klartext dazu schreibt Thomas Kremer, seit Juni 2012 Vorstand Datenschutz, Recht und Compliance bei der Deutschen Telekom: „Aus Sicht der Telekom ist die Balance von Sicherheit und Freiheit aus dem Lot geraten, wenn Geheimdienste persönliche Daten massenweise und anlasslos ausspionieren und speichern. Man kann Freiheit nicht verteidigen, indem man die Persönlichkeitsrechte außer Kraft setzt.“ Die Enthüllungen von Snowden seien „ein Weckruf“ gewesen: „Jetzt geht es darum, nicht wieder einzuschlafen“, fordert Kremer.

Solche pointierten Aussagen sind in Unternehmensberichten eher die Ausnahme, umso interessanter macht sich der im Magazin-Stil gestaltete Bericht (52 Seiten).

„Große Kompetenz in Cybersicherheitsfragen“

Die öffentliche Diskussion über Cybersicherheit und Datenschutz sei nicht nur für die Telekom eine große Chance, sondern ebenso für den Standort Deutschland beziehungsweise europäische IT-Unternehmen, meint Timotheus Höttges, seit Januar 2014 Vorstandsvorsitzender: „Wir verfügen über große Kompetenz in Cybersicherheitsfragen und können uns als Marktführer für Cybersicherheitstechnologie etablieren.“

Ein Beispiel, wie die Telekom diese Chancen nutzen will, ist das „Cloud Computing“: Unternehmen installieren Programme nicht mehr auf eigenen Rechnern, sondern können Software im Business Marketplace der Telekom nutzen – in der „Wolke“.

Der Konzernbeauftragte für den Datenschutz Claus-Dieter Ulmer entgegnet auf Bedenken hinsichtlich des Datenschutzes: „Zu jeder Applikation ist genau angegeben, in welchem Land der Anbieter die Daten speichert und wer die Software betreibt.“ Und: „Der Betrieb der Software erfolgt je nach Angebot in einem deutschen Rechenzentrum der Telekom und unterliegt damit den hohen Sicherheitsstandards der Telekom. Oder der Anbieter betreibt die Software selbst, nutzt dafür aber die Infrastruktur der Telekom, für die dann wiederum die Telekom Standards gelten.“

Nach Einschätzung des IT-Experten und Vorstandsmitglieds des Chaos Computer Clubs (CCC) Peter Franck sind seriöse Cloud-Anbieter auf Schwachstellen „besser vorbereitet als die meisten kleinen und mittleren Unternehmen, weshalb eine Verlagerung von Anwendungen in die Cloud durchaus einen Sicherheitsgewinn bedeuten kann.“

Blog mit aktuellen Informationen

Der Datenschutz-Blog der Telekom informiert über aktuelle Vorfälle, etwa über den Fehler in der Verschlüsselungssoftware OpenSSL, der es Angreifern ermöglicht hat, in den Besitz von Mail-Adressen, Passwörtern und Kontodaten zu gelangen. Von diesem Bug war auch die Telekom bei ihrem E-Mail-Dienst und im Business Market Place betroffen. Wie das Unternehmen mitteilte, habe es die Lücke „unmittelbar nach Bekanntwerden“ geschlossen sowie serverseitige SSL-Zertifikate ausgetauscht beziehungsweise für den weiteren Gebrauch gesperrt.

Und von dem kürzlich publik gewordenen millionenfachen Diebstahl von Mail-Adressen und Passwörtern waren auch rund 87.000 Kunden des E-Mail-Dienstes von T-Online betroffen; die Telekom unterrichtete sie Anfang April per Mail, wie sie vorgehen müssen, um ihre Rechner von Schadsoftware zu befreien.

In Nachhaltigkeitsberichten vernachlässigt

Mit ihrem Datenschutzbericht hat das Unternehmen 2008 Neuland betreten, in diesem Umfang und in dieser Konsequenz informiert bislang kein Konzern, geschweige denn Mitbewerber. Als originärer Bestandteil der Unternehmensverantwortung (Stichwort: Compliance) sind Datenschutz und -sicherheit in der CSR-Welt bislang nicht angekommen: Selten geht ein Nachhaltigkeitsbericht näher darauf ein; das ist auch der mangelnden Aufmerksamkeit in den diversen Berichtsstandards geschuldet.

So streifen etwa die neuen, 2013 vorgelegten G4-Leitlinien der Global Reporting Initiative (GRI) den Datenschutz im Abschnitt Produktverantwortung lediglich mit dem Indikator G4-PR8: Danach haben Unternehmen über die „Gesamtzahl begründeter Beschwerden in Bezug auf den Schutz der Privatsphäre des Kunden und die Verletzung des Datenschutzes“ zu berichten - vorausgesetzt, das Unternehmen hält diesen Punkt für wesentlich. Den Indikator PR8 haben die G4-Leitlinien unverändert von den Versionen 3 beziehungsweise 3.1 übernommen - der Bedeutung des Themas entspricht dies nicht.

Ein Impuls kommt aus den USA: Der erst 2011 gegründete Sustainability Accounting Standards Board (SASB) veröffentlichte Anfang April einen Standard zur Bilanzierung von ESG-Aspekten (ESG - Environment, Social, Governance) von in den USA börsennotierten Unternehmen der Telekommunikationsbranche. Dieser „Telecommunications Sustainability Accounting Standard“ verlangt ausführlichere Rechenschaft der Unternehmen, wie sie es mit dem Datenschutz und der Datensicherheit halten.