Im Informationszeitalter können wir intelligente Schrauben mit ebensolchen Büroklammern vernetzen – etwa um den Verbrauch automatisch und in Echtzeit zu registrieren und rechtzeitig nachbestellen zu können. Telekom-Chef Timotheus Höttges wirbt: "Alles, was digitalisiert werden kann, wird digitalisiert. Und alles, was vernetzt werden kann, wird vernetzt." Aber: Vernetzte Menschen sind manipulierbar und auch vernetztes Verbrauchsmaterial kann angegriffen werden. Doch Datenschutz und ein sensibler Umgang mit Daten werden trotz der erheblichen Risiken noch immer nicht überall in der Wirtschaft ernst genommen. Dabei wollen alle bei Big Data mitspielen – und können sich in Zeiten der Digitalisierung auch nicht entziehen.

Auch da, wo Entscheidungen zur Telematik gefällt werden – oder auf Basis dieser Entscheidungen Geräte und Dienste entwickelt, eingerichtet, verwaltet oder genutzt werden–, fehlt es häufig an Sensibilität im Umgang mit Daten. Das erklärt freilich, warum so viele Anwendungen und Geräte auf den Markt kommen, bei denen es Datenschützern eiskalt den Rücken herunterläuft.

Die Unbedarftheit im Umgang mit Daten beginnt schon früh – in der Schule, in der Ausbildung, an Universitäten. Studien zufolge gehen gerade Jugendliche leichtfertig mit ihren persönlichen Daten um. Eine andere Untersuchung der Universität Erlangen-Nürnberg hat gezeigt: Zwar glauben 78 Prozent der Studierenden, dass sie sich des Risikos unbekannter Internetlinks bewusst seien – trotzdem klickt jeder Zweite solche Links aus Neugierde an.

Der Verein Deutschland sicher im Netz empfiehlt, zehn Prozent einer jeden Informatik-Vorlesung auf die Sicherheit zu verwenden. Fraglich dabei ist aber, welche Inhalte vermittelt werden sollen – und vor allem wem? Den Kryptographen? Den Spezialisten für Robotik oder Computergrafik?

Fraglich ist auch, wie viel Sicherheitsschulungen Natur- und Wirtschaftswissenschaftler, Juristen und Mediziner benötigen. Oder jene, die eine kaufmännische oder gewerbliche Berufsausbildung absolvieren? Die Hochschulrektorenkonferenz äußert sich dazu nicht.

Oft sind Chefs das größte Risiko

Aber nicht nur junge Menschen und Berufsanfänger haben Defizite bei der Informationssicherheit. Es sind vor allem die Entscheidungsträger in Politik und Wirtschaft, denen wichtiges Know-how fehlt. Schlagzeilen wie "Datensicherheit: Chefs sind das größte Risiko" gibt es immer wieder.

Und auch der Bundestag, der "Chef" der Regierung, wurde 2015 Opfer eines Angriffs. Laut Ermittlern wurden zum Ausspionieren der Rechner "gängige Methoden und öffentlich verfügbare Tools" genutzt, "wie sie auch von weniger professionellen Tätern verwendet werden". Die anschließende Aufklärung des Vorgangs soll Abgeordneten zufolge "desaströs" gewesen sein. Fraglich ist, ob Angriffe auf Länder- oder kommunaler Ebene glimpflicher ablaufen würden.

Nach eigenem Bekenntnis war das Internet für die Bundeskanzlerin 2013 noch "Neuland". Der Datenhandel scheint ihr wichtiger zu sein als die Datensicherheit. Genauso ihre Minister: Anstatt die Löcher in den Servern seines Ministeriums zu stopfen, verlangt der Bundesminister für Verkehr und digitale Infrastruktur, Alexander Dobrindt, nach Highspeed-Mobilfunk fürs vernetzte Fahren. Anstatt für die Datensicherheit bei der ihm unterstellten Bundespolizei zu sorgen, will Innenminister Thomas de Maizière immer noch mehr Daten sammeln. Anstatt Bedenken bezüglich Datenschutz und Datensicherheit bei "intelligenten" Stromzählern auszuräumen, will Wirtschaftsminister Sigmar Gabriel diese Technik in jeden Haushalt bringen. Anstatt nachzuweisen, dass elektronische Patientendaten nicht herrenlos im Internet abgefragt werden können, droht Gesundheitsminister Herrmann Gröhe denen, die die digitale Revolution im Gesundheitswesen blockieren.

Im Schadensfall wird ein ITler gefeuert

In der Wirtschaft sieht es nicht anders aus: SAP durchzieht das Land mit seiner Software für Buchhaltung, Controlling oder Personalwesen sowie Anwendungen für Banken, Auto- und Chemieindustrie ähnlich wie das Nervensystem einen Menschen. Mit einem Generalschlüssel könnte womöglich ein Industrieland lahmgelegt werden. Durchschnittlich sollen jedoch – trotz einer angeblich strengen internen Prüfung – 2.000 kritische Fehler in jeder Anwendung aus Walldorf stecken. Das hindert SAP jedoch nicht daran, sich alltägliche Gegenstände und Maschinen zu  wünschen, die über eingebaute Sensoren via Internet miteinander kommunizieren.

SAP ist nur ein Beispiel von vielen. Vielfach müssen Entwickler termingerecht liefern – und dabei zwischen Termintreue und Sicherheit abwägen. Vielfach geht der Zeitdruck zu Lasten der Sicherheit. Oft wird mangelhafte Software auch noch mangelhaft eingerichtet. Und die Administratoren – die Leute, die die Software dauerhaft pflegen – zählen häufig zu den schwächsten Punkten einer jeden Internetseite, da sie Inhalte verändern könnten, dabei aber schwache Passwörter benutzen. Schlimmer noch: Im Konflikt zwischen Sicherheit und Geschwindigkeit entscheiden sich viele Admins häufig für die Geschwindigkeit und erleichterten Kriminellen damit ihr Treiben.

Und dann erst die Nutzer – immer noch vertrauen zu viele auf einfache Passwörter, die man sich leicht merken kann. Jeder Zweite soll einer Umfrage zufolge dazu bereit sein, sein Passwort für Anwendungen im Job für ein Stück Schokolade zu verraten.

Sensibilisierung reicht nicht allein

Immerhin: Kommt es zum Schadensfall durch Cybercrime, kündigt immerhin ein Viertel der betroffenen Unternehmen in Deutschland dem verantwortlichen IT-Mitarbeiter. Gutes Personal ist jedoch knapp – bereits 2010 soll es in den USA Tausende unbesetzte Stellen im IT-Bereich gegeben haben und die Bildungsstätten hätten den Bedarf schon damals nicht decken können. Bis 2019 soll die Anzahl offener Stellen weltweit auf zwei Millionen zunehmen.

Konsequenz der Mängel: Nach einem Angriff konnten beispielsweise 900.000 Telekom-Kunden kürzlich nicht telefonieren. Schon 24 Stunden später hatte die Telekom das Loch gestopft – ein Vorgang, der sonst bei den Telekomikern Monate dauern soll. Immerhin: Der Konzern soll Medienberichten zufolge auch zugegeben haben, auf die Forderungen von Interneterpressern einzugehen.

Es wird Zeit, dass besonders die Wirtschaft anfängt, das Thema Informationssicherheit und Datenschutz ernst zu nehmen – und Beschäftigte intensiv zu sensibilisieren und zu schulen. Unternehmen wie Institutionen und Organisationen brauchen flächendeckend, systematisch und proaktiv Sicherheits- und Notfallkonzepte, physikalischen Einbruchschutz, elektronische Signaturen, kryptographische Verschlüsselungen sowie herstellerunabhängige Zertifikate für Produkte, Dienstleistungen und Apps.