Unterschätzte Gefahr

(Il)legale Attacken auf Smartphone-Daten

Im Interview berichtet Dr. Christoph ­Ritzer, Rechtsanwalt in der Kanzlei Norton Rose Fulbright, von seinen Erfahrungen hinsichtlich Datenspionage und den umfassenden Zugriffsmöglichkeiten der US-Behörden auf Daten außerhalb der USA.

  • „Bei Gerichtsverfahren tendieren die Kläger und Gerichte in den USA dazu, alle für sie potentiell relevanten Dokumente anzufordern – völlig unabhängig davon, wo sich diese befinden“, berichtet Dr. Christoph Ritzer, Rechtsanwalt in der Kanzlei Norton Rose Fulbright.

ITM: Herr Dr. Ritzer, welche Sicherheitsrisiken sollten deutsche Unternehmen einkalkulieren, wenn es um die Nutzung von mobilen Endgeräten innerhalb der Firmennetzwerke geht?
Dr. Christoph Ritzer:
Mittlerweile erlauben es Unternehmen ihren Mitarbeitern immer häufiger, private Smartphones innerhalb der Firmennetzwerke zu nutzen. Dabei stellen sie ihnen SIM-Karten zur Verfügung und übernehmen die anfallenden Gesprächskosten.

Jedoch bringt ein solches Arbeitsmodell – heute unter dem Begriff „Bring Your Own Device“ (BYOD) bekannt – Herausforderungen mit sich. Aufgrund der heterogenen Gerätestruktur ist es schwierig, aufkommenden Sicherheitsrisiken wirkungsvoll zu begegnen. Unternehmen sollten daher sowohl die firmeneigenen als auch die Privatgeräte der Mitarbeiter unter ein einheitliches Regime stellen und insbesondere die arbeitgeberbezogenen Daten klar von den privaten trennen.

ITM:  Lösungen wie MDM- bzw. EMM-Produkte helfen nicht unbedingt, wenn Smartphones über das geräteeigene Mikrophon oder die Kamera angezapft werden. Dadurch können Angreifer unter Umständen vertrauliche Gespräche mithören und an Daten gelangen?
Ritzer:
Unseren Erfahrungen nach unterschätzen Unternehmen die potentiellen Gefahren von Spionageangriffen auf Mitarbeiter-Smartphones und die hiermit verbundenen Risiken teilweise leider noch immer.

ITM: Wie verhält es sich speziell bei DAX-Konzernen? Inwiefern stimmt es, dass Teilnehmer von Vorstandssitzungen ihre Smartphones vorher abgeben müssen?
Ritzer:
Auch ich habe bereits an Sitzungen teilgenommen, bei denen ich mein Smartphone abgeben musste. Manche Unternehmen gehen noch einen Schritt weiter. So erhalten in Einzelfällen Mitarbeiter für Geschäftsreisen fabrikneue, sehr einfache Handys – die gerade nicht smart sind, auf denen sich also keine Applikationen oder ähnliches installieren lassen. Zusätzlich bekommen Mitarbeiter in diesen Situationen teilweise sogar einen fabrikneuen Laptop, auf dem keine Software vorinstalliert ist und der vorher nie ins Unternehmensnetzwerk eingebunden war. Die Mitarbeiter nehmen nur erforderliche Dokumente mit auf Reisen. Bei Rückkehr nach Deutschland, werden die Geräte bzw. deren Speicherbestandteile vernichtet, bevor diese die Chance erhalten, sich mit dem Unternehmensnetzwerk zu verbinden.

ITM: Das ist eine sehr konsequente Maßnahme. Wie verhält es sich im deutschen Mittelstand? Inwiefern sind sich Unternehmen der Gefahr bewusst?
Ritzer:
Dies lässt sich nicht verallgemeinernd sagen. Durch die Enthüllungen der letzten Jahre ist das Thema Spionage vielen bewusst. Wir sehen aber auch, dass manche Unternehmer mit der Thematik IT-Sicherheit noch unerfahren und daher sorglos umgehen.

ITM: Woran machen Sie diese Sorglosigkeit fest?
Ritzer:
Ein Beispiel aus dem Bereich Datenschutz: Nimmt ein Dienstleister auf personenbezogene Daten eines Unternehmens Zugriff, müssen beiden Parteien meist einen Vertrag zur Auftragsdatenverarbeitung schließen. Hier muss eine Anlage zu technischen und organisatorischen Maßnahmen angefügt werden, in deren Rahmen der Dienstleister auflistet, welche Maßnahmen er implementiert hat, um personenbezogene Daten zu schützen. Diese spezielle Anlage wird leider nicht immer sorgfältig erstellt.

ITM: Geschäftsgeheimnisse sollten also nicht in einer Cloud – etwa von US-Anbietern – abgelegt werden, da der amerikanische Staat unter Umständen auf diese Daten zugreifen darf, obwohl sich das Tochterunternehmen samt Rechenzentrum in Deutschland/Europa befindet …
Ritzer:
Das ist richtig. Dies betrifft aber nicht nur die USA. Kunden sollten sorgsam die Vertrauenswürdigkeit der Anbieter und deren Speicherorte prüfen. Wichtige Daten sollten nur an vertrauensvollen Orten gespeichert werden, während unkritische Daten ohne Personenbezug eher in die Cloud können.
Bei US-Anbietern ist zu berücksichtigen, dass US-Gerichte unter Umständen die Herausgabe von Daten im Rahmen der sogenannten Discovery verlangen können, selbst wenn die Daten innerhalb der EU gespeichert sind. So musste ein US-IT-Konzern in einem Verfahren vor einem New Yorker Gericht eine E-Mail herausgeben, die auf einem Server in Irland gespeichert worden war. Das Gericht argumentierte, der US-Konzern habe über seine gesellschaftsrechtlich beherrschende Stellung ‚Possession Custody and Control’ – also Zugriffgewalt – auf die E-Mail, selbst wenn sie bei der irischen Tochtergesellschaft gespeichert worden war.

ITM: Weil US-Gerichte argumentieren könnten, dass der US-Konzern Weisungsgewalt gegenüber seiner Tochter durch die entsprechenden Gesellschaftsverhältnisse besitzt?
Ritzer:
Genau. Ähnliche Herausforderungen gibt es aber auch im umgekehrten Fall. Wenn ein deutsches Unternehmen sein Forschungs- und Entwicklungszentrum in den USA betreibt, die Forschungsdaten aber im Konzernrechenzentrum in Deutschland speichert, kann das Unternehmen gezwungen sein, diese Daten bei Haftungsklagen an die USA-Behörden herausgeben zu müssen. Die geforderten Daten unterliegen aber gleichzeitig dem deutschen Datenschutzrecht, was die Herausgabe erschwert.

ITM: Welches Vorgehen beobachten Sie diesbezüglich?
Ritzer:
Bei Gerichtsverfahren tendieren die US-Gerichte und Kläger dazu, alle für sie potentiell relevanten Dokumente erlangen zu wollen – unabhängig davon, wo sich diese befinden. Für deutsche Unternehmen mit einer US-amerikanischen Tochter ist diese Situation hochschwierig. Denn wenn ein Unternehmen diesem Informationsverlangen nicht nachkommt, könnte es als Beklagter den US-Prozess verlieren. Hier schließt sich der Kreis zu den privaten Handys der Mitarbeiter. Nutzen Mitarbeiter ihre Geräte dienstlich, unterliegen diese Daten möglicherweise dem Herausgabeverlangen. Daher ist es wesentlich, private von dienstlichen Daten streng zu trennen.

Bildquelle: Thinkstock / iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok