Partner von
Partner von

Versuch’s mal diskret

Einige wenige Firmen setzen aus Prinzip auf sicheren Datenverkehr. Ihre Haltung wird nun durch eine Sonderkonjunktur belohnt.





• IT-Sicherheit war lange ein Thema für Insider. Seit den Enthüllungen des Whistleblowers Edward Snowden hat sich das Blatt gewendet. Laut dem Branchenverband Bitkom befürchten mittlerweile drei von vier Unternehmen hierzulande Angriffe aus dem Internet. Der Verfassungsschutz geht von jährlich 50 Milliarden Euro Schaden durch Datenspionage und -sabotage aus. Allein die Telekom registriert bis zu 800 000 Angriffe auf ihre Netze – pro Tag.

Dabei ist sicherer Datenverkehr möglich: dank Verschlüsselung und klugem Umgang mit sensiblen Informationen – egal, ob beim Telefonieren, Mailen, bei der Suche im Netz oder beim Cloudcomputing. Das hat nicht zuletzt Edward Snowden bewiesen, dem selbst die NSA nicht auf die Schliche kam, bevor er sich outete. Seine Enthüllungen haben den Anbietern sicherer Technik eine Sonderkonjunktur beschert.

Diskretes Diensttelefon (Secusmart)

Hans-Christoph Quelle sitzt vor der breiten Glasfront seines neuen Konferenzraums im achten Stock und erzählt vom Erfolg seines Unternehmens. Unter ihm liegt Düsseldorf und vor ihm ein Jahr mit prall gefülltem Auftragsbuch.

Er sagt: „Snowden ist ein Segen für alle Sicherheitsleute, die es schon immer gewusst haben, aber am Finanzvorstand gescheitert sind.“ Quelle weiß, wovon er spricht, schließlich stieß auch er in den Chefetagen meist auf taube Ohren. Nur die Behörden hörten ihm zu – und kauften sein abhörsicheres Handy, auch Merkelphone genannt. Dass bei Mobiltefonen leicht mitgehört werden kann, ist seit Jahren bekannt. Schutz bietet nur eine durchge-hende Verschlüsselung von Gerät zu Gerät.

Quelle fing damit vor zehn Jahren als Manager bei Nokia an: Sichere Telefonie, so seine Überlegung, könnte ein Verkaufsargument für Geschäftskunden sein. Doch der finnische Handykonzern setzte auf Masse, Quelles Projekt wurde beerdigt.

Er aber hielt daran fest und machte sich 2007 selbstständig. Ein Jahr später stand er mit einem Mitarbeiter an einem kleinen Tisch auf der Cebit in Hannover. Im Gepäck hatte er nichts als eine Präsentation. Plötzlich sei – wie im Film – ein Herr mit Trenchcoat und Schlapphut an den Stand gekommen und habe einen Kontakt zur Bundesregierung hergestellt. So will es zumindest der Gründungsmythos, den der Geschäftsführer mit gewinnendem Lächeln erzählt.

Schlapphut hin, Trenchcoat her, 2009 erhielt die Firma den Zuschlag über 5000 sichere Mobiltelefone für die Bundesverwaltung. Seitdem schreibt Secusmart schwarze Zahlen. Benutzt wurden die Apparate allerdings selten. Denn damals hatte jeder Mitarbeiter drei Handys auf dem Schreibtisch liegen: eines zum sicheren Telefonieren, eines für vertrauliche Mails und eines zum privaten Surfen. Das waren zwei Geräte zu viel.

2012 schrieb der Bund daher ein neues Smartphone aus, das sichere Kommunikation und die Trennung von Dienstlichem und Privatem erlaubt. Damit Abgeordnete mit demselben Handy der Kanzlerin simsen und „Angry Birds“ spielen können.

Quelles Wahl fiel auf den Blackberry 10, der diese Trennung neuerdings von Haus aus anbietet. Um die Verschlüsselung im Inneren kümmert sich ein selbst entwickelter Mikrochip.

Die Technik des fingernagelgroßen Prozessors gefiel dem Bundesamt für Sicherheit in der Informationstechnik, und Secusmart bekam die Zulassung für den Dienstgebrauch. Quelle verkaufte in den ersten drei Monaten nach dem Zuschlag mehr als 2000 sichere Handys. Das Stück zu 2500 Euro.

Nur die Firmenkunden ließen auf sich warten. Bislang zählen nur ein Dax-Unternehmen und einige Mittelständler dazu. Öffentlich bekennen will sich keiner von ihnen. Um Hacker nicht neugierig zu machen. Eigentlich will auch die Bundesregierung nicht genannt werden, kann es aber nicht verhindern, weil ihre Ausschreibungen öffentlich sind.

Im vergangenen halben Jahr haben sich die Anfragen aus der Industrie verzehnfacht. „Wir rechnen mit einem guten Jahr“, sagt Quelle. Die 40 Vollzeitkräfte werden 2014 wohl ein paar neue Kollegen bekommen. Wie viele, will der Geschäftsführer nicht sagen, die Geheimniskrämerei seiner Kunden ist offenbar ansteckend.

Vertrauliche Wolke (Teamdrive)

Es war im Jahr 2004, als Volker Oboda den Überblick verlor. Gemeinsam mit seinen Kollegen aus dem Vertrieb erstellte er für seinen damaligen Arbeitgeber, die Hamburger Software-Firma Snap, Präsentationen. Die Folien lagen auf dem Firmen-Server. Wenn jemand etwas änderte, gab er der jeweiligen Datei einen neuen Namen, und irgendwann blickte keiner mehr durch.

Da sagte sich Oboda, Kind des Ruhrpotts: „Wir müssen dat auf’n einfachen Nenner bringen“, und erdachte ein System, mit dem mehrere Menschen kollisionsfrei gleichzeitig an einem Dokument arbeiten können. Den Begriff Cloud kannte damals noch niemand.

Als der Londoner Telekomdienstleister Colt von der Idee erfuhr, war er sofort begeistert. Oboda und seine Kollegen wurden von ihrem Arbeitgeber freigestellt, um die Idee zu realisieren. Zur obersten Bedingung machten die Briten die Sicherheit ihrer Daten. Die Verschlüsselung gehörte also von Anfang an zum Konzept.

Darum kümmert sich die Software, die der Kunde auf seinem Rechner installiert. Sie verschlüsselt die Daten und schickt sie an den Server. Wer vom Besitzer eine Einladung samt passendem Schlüssel bekommt, kann aus der Ferne darauf zugreifen. Die Software holt sich das verschlüsselte Paket und wandelt es auf dem Zielrechner in lesbare Dateien um. Zwischen den beiden Rechnern ist zu jeder Zeit nur unbrauchbarer Datenschrott unterwegs, den selbst Oboda nicht öffnen kann.

Im Jahr 2007 gab er dem Projekt den Namen TeamDrive und bekam vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein das hochoffizielle Zertifikat zum Einsatz bei Berufsgeheimnisträgern. Einer von ihnen ist die Firma DictaTeam, die Diktate aus Kanzleien und Krankenhäusern transkribiert. Um ihre Kunden zu erreichen, muss sie Mitschnitte mit hochsensiblen Kundendaten quer durchs Land schicken. Ein Datenleck kann sie sich nicht leisten.

Die hohen Sicherheitsanforderungen erschwerten allerdings den Umgang mit der Software. Der etwa zur gleichen Zeit gegründete amerikanische Anbieter Dropbox verzichtet auf die Verschlüsselung beim Nutzer, das Programm ist deutlich leichter zu bedienen. Die Daten lagern auf einem Server, zu dem das Unternehmen uneingeschränkten Zugang hat – und mit ihm wohl auch die US-Behörden. Heute hat Dropbox 200 Millionen Nutzer, Teamdrive gerade eine Viertelmillion.

Doch mit dem NSA-Skandal kam Bewegung in den Markt für Cloudcomputing, dessen Volumen hierzulande auf 4,61 Milliarden Euro geschätzt wird. Laut Bitkom nutzt bereits fast die Hälfte aller deutschen Unternehmen die Technik, ein weiteres Drittel plant es. Doch auch die Bedenken haben zugenommen. So fordern mittlerweile drei Viertel der Firmen, dass ihre Daten auf Servern in der EU gespeichert werden.

Teamdrive nutzt Server in Irland, auf Wunsch auch in Hamburg oder Frankfurt am Main. „Die Anfragen bezüglich Sicherheit sind bei uns drastisch gestiegen“, sagt Oboda. Sein Umsatz hat sich im vergangenen halben Jahr vervierfacht.

„Am internationalen Markt sind wir damit aber immer noch nicht wahrnehmbar“, sagt der Gründer. Das will er nun ändern. Zurzeit sei er im Gespräch mit zehn großen Telekomunternehmen mit insgesamt 80 Millionen Kunden.

Die will er mit noch mehr Sicherheit locken, sprich durch eine noch stärkere Verschlüsselung. „Hundert Prozent können wir zwar nie vor Spionen schützen, aber et ihnen so schwer wie möglich machen, dat können wir schon.“

Private Post (Posteo)

Eigentlich dürfte es den kleinen E-Mail-Anbieter aus Berlin nicht geben. Denn er hat auf all das verzichtet, was bei hippen Start-ups üblich ist: auf Wagniskapital, Werbung und Wachstumsfantasien.

„Das war ja alles nicht so geplant“, sagt Sabrina Löhr, die den Dienst im Jahr 2009 zusammen mit ihrem Mann Patrik gegründet hat. Am Anfang ihrer Geschichte steht Greenpeace, beruflich wie privat. Dort haben sie sich kennengelernt, dort kam ihnen die Idee. Damals waren sie auf der Suche nach einem E-Mail-Anbieter, der die Daten seiner Kunden ebenso schützt wie die Umwelt. Technisch ist das kein Problem, wusste Patrik Löhr, der für kleine Firmen Mail-Systeme betreute. Trotzdem schien es einen solchen Dienst für Privatkunden nicht zu geben. So wurden die Löhrs selbst aktiv.

Er kümmerte sich um die Technik, sie um den Inhalt. So ist das heute noch. Ihre Server laufen mit Greenpeace-Strom, die Geschäfte laufen über die GLS Bank, und ins Büro fahren sie mit der Bahn. Und obwohl sie beim Thema Wachstum die Augen verdrehen, hat sich ihr Kundenstamm im vergangenen halben Jahr vervierfacht.

Verantwortlich dafür ist ihr Konzept der sogenannten Datensparsamkeit, das neben Privatkunden auch Berufsgruppen mit erhöhtem Sicherheitsbedarf anzieht. Bei der Anmeldung will Posteo nichts weiter von seinen Kunden wissen als ein selbst erdachtes Pseudonym. Kein Geburtsdatum, keine Hobbys, kein Einkommen. Der Datenverkehr zum Firmen-Server ist durchgehend verschlüsselt. Was die Konkurrenz nun vollmundig unter dem Slogan „E-Mail Made in Germany“ anpreist, ist für Posteo seit der Gründung vor fünf Jahren Standard.

Auch IP-Adressen speichert der Berliner Anbieter nicht. „Wenn wir keine Daten sammeln, können wir auch keine an die Behörden weitergeben“, sagt Patrik Löhr, der zufrieden mit Dreitagebart und Meckifrisur auf dem Sofa seines Kreuzberger Büros sitzt. Mittlerweile hat die Firma rund 40 000 Kunden. Geplant war lediglich ein Dienst für Freunde und Bekannte. Doch als Folge des NSA-Skandals stürzten sich die Medien auf Posteo. Selbst das russische Staatsfernsehen kam vorbei.

Die Geschichte der Firma zeigt, dass auch Privatleute bereit sind, für Sicherheit zu zahlen, denn das Postfach kostet einen Euro pro Monat. Posteo verzichtet auf Werbung und finanziert sich direkt durch die Beiträge der Kunden statt durch den Verkauf ihrer Daten. Die kleine Gebühr für die elektronische Post sollte die Kosten decken, sagt Löhr, eine betriebswirtschaftliche Rechnung habe nicht dahintergestanden.

Heute ernährt sie die beiden Gründer und ihre sieben Mitarbeiter. Ein Großteil von ihnen kümmert sich um den Kundendienst, „den wollen wir nicht automatisieren“, sagt Löhr. Der Rest der Firma läuft fast von allein. So kann er sich ganz um die diskrete Technik kümmern. Da auch von seinen Kunden kaum einer seine Mails verschlüsselt, liegt die komplette Korrespondenz vor ihm wie ein Sack Postkarten. Er würde sich zwar strafbar machen, aber wenn er wollte, könnte er, bequem vom Schreibtisch aus, in der privaten Post seiner Kunden stöbern. Jeder E-Mail-Anbieter kann das. Und mit richterlichem Beschluss auch die Polizei.

Um das zu verhindern, tüftelt Löhr an einer Technik, die Nutzern erlaubt, die Post in ihrem Fach mithilfe eines zweiten Passworts – das nur sie kennen – zu verschlüsseln. Vergessen sie das, sind ihre Mails für immer verloren. Allerdings bekämen auch Behörden, die Posteo zum Öffnen eines Postfachs zwängen, nur unlesbaren Datenmüll.

Sichere Suche (Metager)

Metager ist eine der ältesten Suchmaschinen der Welt, und das sieht man ihr auch an. Ihrem Erfinder Wolfgang Sander-Beuermann geht es nicht ums Äußere; dem Pensionär mit dem weißen, schulterlangen Haar geht es um Inhalte. Und die liefert seine Meta-Suchmaschine seit 1996 ohne einen Tag Pause.

Damals, als Mitarbeiter im Rechenzentrum der Universität Hannover, war er fasziniert von den unendlichen Weiten des Internets. Doch so immens dessen Inhalt, so umständlich war die Suche darin. Zwar gab es einige Maschinen, die sich mit Crawlern von Site zu Site hangelten, um das World Wide Web zu erfassen, doch jede bekam nur ein Bruchteil des Netzes zu fassen. Um eine bestimmte Seite zu finden, musste man zig Suchmaschinen hintereinander befragen.

Sander-Beuermann war diese Prozedur leid. Er schrieb ein Programm, das seine Anfrage an alle Suchmaschinen gleichzeitig schickte und sich aus den Antworten die besten herauspickte. Nach diesem Prinzip funktioniert Metager noch heute.

Der Dienst verzichtet auf Cookies, speichert keine IP-Adressen und verschleiert die Herkunft der Nutzer. Je weniger Daten gesammelt werden, desto besser, so das Credo des Erfinders: „Denn wo ein Trog ist, da kommen die Schweine.“

Zudem bietet er auch einen Zugang über das Anonymisierungsnetzwerk Tor an. Der Nutzer muss dann zwar etwas länger auf die Antwort warten, kann aber kaum noch abgehört werden. „Ganz verhindern kann man das nie – aber wir müssen den Überwachern Sand ins Getriebe streuen, wo es nur geht“, sagt Sander-Beuermann. Als Wissenschaftler weiß er die Analyse von Daten zu schätzen, „aber wenn es um Informationen über einzelne Personen geht, dann wird’s kritisch.“

Als Suchmaschinenbetreiber befindet er sich mit diesem Ansatz in einer überschaubaren Gruppe. Doch mit der Konkurrenz hat er ohnehin wenig gemein. Für ihn sind Suchmaschinen Zugang zu Wissen und gehören nicht in die Hand kommerzieller Anbieter. Er ist der Ansicht, dass niemand ein Monopol auf Wissen haben dürfe. An den personalisierten Suchergebnissen des Giganten Google – die sich an die Vorlieben des Nutzers anpassen – hat er grundsätzliche Kritik. Der Mensch bekomme nur die Welt zu sehen, die er sehen wolle. „Googles Antworten können nicht mehr überraschen, mein Erkenntnisgewinn passt sich dem an, was ich bereits denke.“

Den Leuten scheint das egal zu sein. Google registriert täglich knapp sechs Milliarden Anfragen, Metager lediglich 60 000. Von der Wirtschaftlichkeit ist Sander-Beuermann noch ein gutes Stück entfernt. Der Gründer arbeitet ohne Bezahlung, lebt von seiner Pension. Das bisschen Geld, das durch Werbeeinnahmen und Spenden zusammenkommt, reicht gerade für die Büromiete und vier Minijobber. Für den dringend benötigten Geschäftsführer bräuchte er 200 000 Suchanfragen am Tag.

Auch damit läge er noch deutlich unter den Zahlen aus den goldenen Zeiten um die Jahrtausendwende. Damals hatte Metager eine halbe Million Nutzer am Tag. „Da haben wir richtig Geld verdient“, sagt Sander-Beuermann, „wir waren für ein Drittel des gesamten Datenverkehrs der Uni Hannover verantwortlich.“ Doch dann kam Google mit seiner genialen Erfindung des Pagerank, der Seiten danach gewichtet, wie oft auf sie verlinkt wird, und seitdem ging es mit Metager bergab.

Seit Snowden haben sich die Zugriffszahlen wieder verdoppelt. „Mich hat zwar nicht überrascht, was er gesagt hat, trotzdem bin ich ihm dankbar“, sagt der Erfinder in seinem Büro in einem Siebzigerjahre-Bau in der hannoverschen Innenstadt. Er hat sogar versucht, mit dem Whistleblower Kontakt aufzunehmen, doch der Alt-Grüne Hans-Christian Ströbele war schneller. Dafür hat er sich Snowdens Porträt ausgedruckt und an die Glastür zum Büro geklebt. Gegenüber hängt eine Obama-Collage mit Kopfhörern und dem Slogan „Yes we scan“.

Wachstumsfantasien hat der Wissenschaftler nicht, für Werbung fehlt ihm das Geld. Sein Plan: „Wir sehen einfach gelassen zu, wie die Zugriffszahlen langsam weiter steigen.“ ---
Schweigende Mehrheit

Kaum ein Unternehmen räumt Lücken in der eigenen Verteidigung gegen Datendiebe ein. Die Sicherheitsbranche schätzt die Dunkelziffer bei Spionage und Sabotage auf 90 Prozent.

Dokumentierter Einzelfall

Zu den wenigen Ausnahmen zählt der Anlagenbauer Ferrostaal *. Auf Wikileaks veröffentlichte Depeschen belegen, dass die NSA Unterlagen aus dem Essener Unternehmen an einen amerikanischen Konkurrenten weiterreichte. Ferrostaal entging ein sicher geglaubter Auftrag über 35 Millionen US-Dollar.

Späte Einsicht

Ein Drittel aller deutschen Unternehmen haben die Enthüllungen Snowdens zum Anlass genommen, ihre IT-Sicherheit zu verstärken; ein Viertel hat bereits Gelder für neue Technik lockergemacht. Privatleute finden beispielsweise auf Websites wie prism-break.org ** Hinweise auf sichere Software.

*  b1-link.de/ferrostaal **  b1-link.de/prism_paradox