David John Moore Cornwell, besser bekannt als John le Carré, hätte die Geschichte nicht besser erfunden. Die Enthüllungen des milchgesichtigen Systemadministrators Edward John Snowden entwickeln sich zum amüsantesten Agententhriller seit der Filmkomödie Charade, die vor ziemlich genau 50 Jahren gedreht wurde – wir erinnern uns: mit Walter Matthau als falschem CIA-Mann. Einzig die National Security Agency (NSA), Amerikas größter und am besten ausgestatteter Militärnachrichtendienst, ist verständlicherweise not amused.
Aus der Geschichte des Whistleblowers (auf gut Deutsch Verpfeifers) und seiner witzigen Verfolgungsjagd mit Zwischenstopp auf dem Flughafen des ehemaligen Erzfeinds lassen sich eine Reihe von ernsten Lehren ziehen. Zunächst einmal die, dass man mit Freunden wie den Amerikanern eigentlich keine Feinde mehr braucht. Unter dem Vorwand, Terroristen zu jagen, spähen sie klammheimlich ihre Verbündeten aus, und das so systematisch, dass jeder chinesische Industriespion vor Neid erblassen muss. Anders ist nicht zu erklären, dass die Datenspione der NSA in Europas vor allem Deutschland im Visier hatten.
Zweitens beweisen unsere europäischen Politiker einmal mehr, dass sie etwa so viel Rückrat wie ein Weichtier aus dem jüngeren Pleistozän haben. Selbst unsere eiserne Lady Angela Merkel ist merkwürdig kleinlaut, wenn es darum geht, Stellung zu der massiven Ausspähung zu beziehen. Was muss eigentlich noch geschehen, bevor jemand den amerikanischen Botschafter einbestellt, um ihm eine offizielle Protestnote zu übergeben? Die einzige Erklärung für die Funkstille ist, dass unsere Geheimen von Militärischem Abschirmdienst und Co. mit den amerikanischen Diensten traulich vertraulich im selben Glashaus sitzen, so dass sich keiner traut, den Stein zu werfen.
Die dritte und vielleicht wichtigste Lehre lautet, dass unsere sensiblen Daten nirgendwo so verletzlich sind wie auf dem Transportweg durch die weltweiten Datennetze. Das ist wahrlich keine neue Erkenntnis. Aber wenn irgendein innovatives deutsches Unternehmen mal die verrückte Idee gehabt haben sollte, sein intellektuelles Eigentum in die Cloud zu schicken und das auch noch bei einem amerikanischen Wolkenschieber, dann dürfte sich das Thema erst einmal erledigt haben. Die NSA hat den Anbietern von Cloud-basierten CAD- und PLM-Lösungen einen wahren Bärendienst erwiesen.
Auch die vierte Erkenntnis ist nicht wirklich neu: Der größte Risikofaktor für die Datensicherheit ist der Mensch. Nicht der normale Anwender, der regelmäßig sein Passwort vergisst und es deshalb auf einen Klebezettel an den Bildschirm heftet, sondern der Herr über alle Passwörter. Edward Snowden wird in der Presse immer als Geheimdienstmitarbeiter bezeichnet, was er eigentlich nicht war. Er arbeitete vielmehr als Systemadministrator bei der Beratungsfirma Booz Allen Hamilton, das heißt einem externen Dienstleister, der im Auftrag der NSA an der Datenüberwachung beteiligt war. Dank seiner Tätigkeit konnte er sich Zugang zu geheimen Informationen verschaffen, die selbst für einen Meisterspion schwer zu hacken gewesen wären.
Interessanterweise beschäftigte sich der erste Artikel, den ich vor ein paar Wochen in den USA über den Fall Snowden las, nicht so sehr mit dem Skandal als solchen, sondern mit der Frage, wie dem geheimsten aller Geheimdienste seine Geheimnisse abhanden kommen konnten und wie man sich gegen solche Leaks schützt. Ausgerechnet die IT, die sich um die Datensicherheit kümmert, ist gerade in Unternehmen mit global verteilten Standorten ihre größte Achillesferse, weil die Systemadministratoren vor Ort direkt auf die Datenbanken zugreifen und geschützte Informationen abgreifen können. Da nützen dann auch die besten Rollen- und Rechtekonzepte im PLM-System nichts.
Die Unternehmen sind sich dieser Problematik durchaus bewusst. Neulich besuchte ich einen renommierten Automobilzulieferer, der in der frühen Entwurfsphase eng mit OEM-Kunden zusammenarbeitet und deshalb bei der Datenkommunikation hohe Sicherheitsanforderungen erfüllen muss. Die Firma entwickelt weltweit an elf Standorten, die zum Teil gemeinsam an Projekten arbeiten. Um das Risiko der Industriespionage so gering wie möglich zu halten, werden nur die gemeinsam genutzten Daten an andere Standorte repliziert und auch nur dann, wenn der Anwender die entsprechende Berechtigung hat. „Nichts ist gefährlicher für die Datensicherheit als ein frustrierter Mitarbeiter“, meinte mein Gesprächspartner. Als Systemadministrator wusste er wovon er sprach.