Letzte Woche wurden wir gleich zwei Mal erschreckt: Google liest unsere E-Mails [1] und und mit Microsoft Office365 können AnwenderInnen überwacht [2] werden. Überrascht hat mich daran, dass Drittfirmen anscheinend tatsächlich Menschen die E-Mails lesen lassen und deren Inhalte nicht automatisiert durchforsten … aber das ist nebensächlich. Wichtiger ist die wieder einmal aufkommende Erkenntnis: Wer Daten hat, der nutzt diese auch. Das muss ja auch nicht unbedingt schlecht und falsch sein, so lange man selbst darüber entscheidet. Doch was ist in Unternehmen, Verwaltungen, Schulen oder Universitäten? In diesen Institutionen sehe ich nur zu oft, dass Wissen und Erfahrung der IT-Abteilungen in genau diesem Bereich nicht genutzt werden, um die MitarbeiterInnen und das Wissen der Institution zu schützen.
Auf gar keinem Fall sollte man sich modernen Technologien gegenüber aus Angst verschließen. Von den IT-Experten einer Organisation muss man aber erwarten können, dass diese potentielle Risiken so beschreiben, dass die Fachabteilungen sinnvoll darüber entscheiden können. In puncto Public Cloud gebe ich unseren Partnern und Kunden immer wieder die folgenden drei Punkte mit auf den Weg, über die man schlicht nachdenken sollte:
1. Administratoren können auf Daten zugreifen
Als ich mit 14 Jahren mein Schulpraktikum bei einer Bank absolvierte und die Mitarbeiter keine Akten mehr für mich zum Sortieren hatten, haben sie mir gesagt, dass ich doch mal ein wenig durch die Karteikarten blättern und nach den Konten meiner Mitschüler suchen dürfte. Ich habe das nicht gemacht, weil es mir nicht nur unnütz für mich sondern auch falsch vorkam. Das war damals schon so falsch wie es heute ist. Doch erwarten scheinbar viele Leute heutzutage, dass es technisch gar nicht möglich sei deren Daten zu lesen. Hüstel [3] – Es ist manchmal sogar gesetzlich notwendig.
Und je weiter sich meine Daten außerhalb meiner Reichweite befinden, desto größer ist die Chance, dass in irgendeinem Rechenzentrum irgendwelchen Mitarbeitern die Aufgaben für irgendeinen Schülerpraktikanten ausgehen … Und der Praktikant ist gar nicht das Problem: Es gibt einen Unterschied zwischen Administratoren, die für die eigene Organisation arbeiten – die dem eigenen Unternehmen also uneingeschränkte Loyalität entgegenbringen (müssen) – und Administratoren, die für Public Cloud-Provider arbeiten, die Sie nicht kennen und nicht verpflichtet sind, Ihnen gegenüber Loyalität zu zeigen. Wie viel Vertrauen sind Sie bereit, denen vorab zu geben?
2. Daten werden genutzt
Das eigentlich aus dem Privatbereich bekannte Argument “Wer hat denn schon was von meinen Daten?!” höre ich erschreckend oft auch in Unternehmen oder Behörden. In manchen Situationen ist das ja auch korrekt. Und eigentlich geht es ja gar nicht um den speziellen Text oder den genauen Inhalt einer E-Mail. Mit Daten und den Metadaten – also zum Beispiel dem Wissen, wer welche Information mit wem teilt – werden Künstliche Intelligenzen (KI) angelernt. Je mehr Daten man einwirft, desto schlauer wird am Ende die KI. Man trägt mit den eigenen Daten also mindestens zum Geschäftsmodell Anderer bei. Mal aus der Luft gegriffen, aber bildlich nachvollziehbar: Will man wirklich, dass die Autokorrektur von Google allen Benutzern weltweit den Fachbegriff für ein von der eigenen Firma entwickeltes Produkt vorschlägt? Deutlicher und allumfassender wird es im folgenden Punkt …
3. Nichts ist geschenkt: In der Cloud wird man schnell selbst zum Produkt
“As you use Office365, you are creating this Microsoft Graph Asset” und weiter übersetzt: “Dies repräsentiert das Wissen Ihrer Leute, die Beziehungen zu anderer Leuten innerhalb und außerhalb der Organisation […] Das ist ein sehr wertvoller Datensatz über den Sie verfügen können, um zusätzliche Werte innerhalb Ihrer Organisation zu schaffen” – Wirklich nur in der eigenen Organisation? Das Bild von LinkedIn (gehört ja auch zu Microsoft) ab Minute 1:18 spricht Bände, wie ich finde. Wer weiß denn da in Zukunft deutlich besser als Sie selbst Bescheid, welcher Excel-Guru die schlauesten Formeln in den Spreadsheets Ihrer Firma ergänzt? Und müssen Sie sich Sorgen machen, dass ein Headhunter einen Datensatz mit diesem Wissen (das Sie selbst vielleicht gar nicht mal so konkret haben) kauft?
Und was nun?!?
Es gibt die Anforderungen, bei denen all diese Punkte keine Rolle spielen. Zum Beispiel ist es mir egal, ob meine Kolleginnen oder Kollegen sich auf Dienstreisen von OpenStreetMap, GoogleMaps, Waze oder wovon auch immer navigieren lassen. Wir besuchen Unternehmen und deren Adressen kennt man sowieso. Wenn wir mit unserer Reisetätigkeit helfen, Staus besser vorherzusagen, dann ist das gut – also warum nicht?
Ich sage nicht, dass man Cloud-Services nicht nutzen soll. Und schon gar nicht sage ich, dass die Anbieter von Public Clouds böse sind. Alles was ich mir wünsche ist, dass Entscheidungen über IT-Systeme bewusster und nachhaltiger getroffen werden. Wie Satya Nadella im Video sagt: Die Datensätze repräsentieren des Wissen unserer Kollegen und deren Beziehungen zu anderen Kollegen innerhalb und außerhalb unserer Organisationen – Das sind sehr wertvolle Datensätze.
[1] https://www.golem.de/news/datenschutz-drittfirmen-lesen-massenweise-gmail-postfaecher-1807-135289.html
[2] https://www.heise.de/newsticker/meldung/Office-365-Undokumentierte-Funktion-ermoeglicht-Nutzer-Ueberwachung-4098743.html#
[3] https://www.cloudcomputing-insider.de/der-lange-arm-der-usa-neues-cloud-gesetz-in-kraft-a-704793/
