Der Zukunftsforscher und Unternehmer Harry Gatterer erläutert, warum strenge Regeln und hohe Strafen a la DSGVO nicht der richtige Weg sind, um das Bewusstsein für IT-Security zu heben. Flexicurity hingegen würde dafür sorgen, dass Flexibilität und IT-Security einander bedingen und keine Gegensätze bilden, so wie sie das bisher tun.

Frage: Gängige Sicherheitskonzepte definieren ganz klar, was man darf oder nicht darf. Etwas Neues und Unbekanntes ist standardmäßig nicht erlaubt – das könnte die Security gefährden. Sind Ihrer Ansicht nach Flexibilität und Sicherheit Gegensätze?

Harry Gatterer: Jede Form von Flexibilität ist nur durch sicheren Rahmen möglich. Sicherheit und Flexibilität sind also kein Widerspruch. Sie sind es nur dann, wenn Rahmen unveränderlich bleiben. Wenn die Architektur der Sicherheit eine gewisse Veränderung zulässt, dann ist es kein Widerspruch. Dann ist sie sogar eine sehr wichtige Voraussetzung. Innerhalb des sicheren Rahmens ist es möglich, sich flexibel zu bewegen. Beobachten Sie einmal ein Kleinkind. Mit ein oder zwei Jahren beginnt es herumzulaufen, zu hüpfen und ist hochgradig flexibel. Das macht es aber nur unter dem Wissen, dass seine Eltern da sind. Würden sie nicht da sein, würde das Kind sicherlich nicht so sicher agieren. Um Flexibilität zu erzeugen, brauchen wir Sicherheit.

Frage: Ist Flexicurity also als ein Konzept zu verstehen, das diese beiden Pole zu vereinen versucht?

Harry Gatterer: Der Begriff Flexicurity kommt aus den Niederlanden, wird aber u.a. in Dänemark praktiziert. Es beschreibt das hiesige sozialpartnerschaftliche Modell. Der Staat gibt seinen Bürgern das Versprechen, nie arbeitslos zu sein. Dafür wird vom Bürger erwartet, den Job auch zu wechseln und etwas anderes zu arbeiten. Die Phasen zwischen zwei Jobs nennt man nicht Arbeitslosigkeit, man spricht von Zwischenjobs. Der Staat gibt also den sicheren Rahmen vor, innerhalb dessen sich die Bürger flexibel bewegen können. Das Modell bedingt einen Austausch, einen Dialog. Die Sozialpartner verhandeln nicht in der Form untereinander, so wie sie das etwa in Österreich tun. Die Gewerkschaft geht auf jeden einzelnen Betrieb zu, um dessen individuelle Bedürfnisse zu eruieren und darauf einzugehen. Flexicurity ist eine Form des Dialogs.

Frage: Findet sich Flexicurity auch innerhalb von heimischen Betrieben, wenn es um die Kommunikation zwischen den IT-Abteilungen und den anderen Bereichen des Unternehmens geht?

Harry Gatterer: Es ist schon noch gelebte Realität, dass die IT und die anderen Abteilungen keinen regen und ständigen Dialog miteinander führen, wenn es darum geht, Rahmenbedingungen weiter zu entwickeln. IT-Abteilungen sind noch immer funktionsbasierte Bereiche, die dafür verantwortlich sind, wenn etwas nicht funktioniert. Aber das liegt eben nicht nur an der IT.

Frage: Erfüllen die IT-Abteilungen noch immer die Rolle als Dienstleister und nicht so sehr als Vordenker?

Harry Gatterer: Ja, das stimmt sicherlich. Sie sind ja auch Dienstleister gewesen und das hat sich seit Jahrzehnten so etabliert. Wenn ich am Morgen ins Büro komme und 25 Systeme hochfahren muss, um arbeiten zu können, dann Vieles nicht darf, weil es mit der IT-Security nicht vereinbar ist, entwickle ich automatisch einen Groll in Richtung IT. Viele glauben, dass die IT Dinge schneller macht. Aber in der IT-Architektur stimmt das so nicht. Denn wenn die IT-Abteilung neue, grundlegende Strukturen einführt, dann müssen diese mehrere Jahre so funktionieren. Da können dann einzelne Mitarbeiter nicht sagen, dass es anders aber besser gewesen wäre. Dieses Verständnisproblem lässt sich aber nur durch einen Dialog zwischen den Abteilungen lösen.

Frage: Medienberichte von Sicherheitspannen oder Hackerangriffen gibt es viele. Dennoch ist das Bewusstsein für IT-Security auch bei Unternehmen noch nicht sehr hoch ausgeprägt. Woran liegt das Ihrer Meinung nach?

Harry Gatterer: IT-Security ist unsichtbar und wir tun uns extrem schwer, uns solche Dinge vorzustellen. Daten werden nie sicht- oder greifbar – außer auf einem zweidimensionalen Bildschirm. Solche Darstellungen erzeugen aber keine Vorstellungskraft darüber, dass dies auch einen physischen Impact haben kann. Deshalb werden auch solche generalistischen Regeln wie die Datenschutzgrundverordnung (DSGVO) beschlossen, die uns davor schützen soll, grobe Fehler zu begehen. Die DSGVO geht aber teilweise schon ins Absurde. Ein Beispiel: Ich bin ein Mensch der kaum mit Visitenkarten außer Haus geht. Nun werde ich oft darauf angesprochen, doch bitte eine Visitenkarte herzugeben, weil es meinem Gegenüber sonst nicht erlaubt ist, mir eine E-Mail zu senden. Ist das wirklich der richtige Weg? 

Frage: Hat die DSGVO auch positive Aspekte?

Harry Gatterer: Die Menschen werden sich unter Androhung von Strafen bewusst mit Datenschutz auseinandersetzen. In vielen Unternehmen werden nun Fragen gestellt: Was sind eigentlich Daten und welche haben wir überhaupt? Aber es gibt auch wirklich positive Effekte. Die DSGVO wird Kreativität freisetzen, die dabei hilft, mit ihr umzugehen. Jeder Rahmen wirkt inspirativ. Aber das ist im Fall der DSGVO nur ein Nebeneffekt und das Negative scheint zu überwiegen. Denn die DSGVO wird die Digitalfirmen aus den USA in Europa noch stärker machen, als sie es heute ohnehin schon sind. Ein doppeltes Opt-In wird eine Firma wie Google leichter bekommen als ein Huber & Maier. Denn auf die Services von Google wird niemand verzichten wollen, auf die von Huber & Maier aber schon. Deshalb werden viele europäische Unternehmen ihre Datensätze vernichten müssen und damit Wettbewerbsfähigkeit einbüßen. Aber das scheint die EU bewusst in Kauf zu nehmen. Sie merken, ich sehe die DSGVO sehr kritisch. Ich bin absolut dafür, das Bewusstsein für Datenschutz zu heben. Aber die Art und Weise, wie das die EU macht, zeugt entweder von Hilflosigkeit oder dem Willen, machtpolitische Strukturen etablieren zu wollen und gleichzeitig die Bereitschaft, damit viele negative Konsequenzen in Kauf zu nehmen.

Frage: Laut Prognosen wird es im Jahr 2020 um die 50 Milliarden vernetzte Geräte weltweit geben. Durchschnittlich verfügt dann jeder einzelne von uns über 7 solcher smarten Apparate. Berichte über Sicherheitspannen und Hackerattacken haben nicht viel geholfen, um das allgemeine Bewusstsein über IT-Security zu heben. Welche Alternative gibt es zu dem von der EU mit der DSGVO eingeschlagenen Weg?

Harry Gatterer: Bewusstsein lässt sich im Dialog erzeugen. Man könnte beginnen, IT-Security und Datenschutz in Schulen zu thematisieren. Die Kinder bekommen mit 8, 10 oder 12 Jahren bereits ihr erstes Smartphone und genau hier könnte man ansetzen. Nur der Austausch, der Dialog erlaubt es Menschen, zu verstehen, worum es geht. Ich habe es vorher schon erwähnt: Viele Unternehmen handeln mit Daten deshalb fahrlässig, weil sie sich die Gefahren nicht vorstellen können. Strenge Regeln und hohe Strafen sind nicht zwingend ein Mittel zur Bewusstseinsbildung. Nachhaltig ist das nur durch Dialog möglich. Das ist am Ende am effektivsten, auch wenn der Weg langsam und mühsam ist.

Frage: Welche Rolle können Mobilfunker spielen, um Flexicurity zu implementieren?

Harry Gatterer: Mobilfunker können eine Infrastruktur zur Verfügung stellen, die es den Unternehmen erlaubt, den sicheren Rahmen und die Flexibilität ständig anzupassen. Die Architektur könnte von den Anwendern ein Mindestmaß an Dialog einfordern – beispielsweise vierteljährliche Reviews vorgeben. Damit können die Mobilfunker ihren Kunden nicht nur die Technologie liefern, sondern gleichzeitig auch Rituale zur Verfügung stellen, wie man damit umgeht. Flexicurity hat nicht nur technologische Aspekte, sondern bedeutet auch den ständigen Austausch der unterschiedlichen Einheiten. Dieser hebt das gegenseitige Verständnis darüber, dass es in der IT gewisse Schranken geben muss und dass diese auch adaptiv sein müssen.

ad Personam Harry Gatterer

Harry Gatterer ist geschäftsführender Gesellschafter des Zukunftsinstituts mit Sitz in Frankfurt am Main und Wien. Seine Kernkompetenz liegt in der Verknüpfung von gesellschaftlichen Trends und unternehmerischen Entscheidungen. Er unterstützt Unternehmen dabei, relevante Trends zu erkennen und für sich zu nutzen. Die von ihm entwickelte Future-Room-Methode bündelt 20 Jahre Erfahrung als Unternehmer und Zukunftsforscher. Sowohl kleine und mittlere als auch international renommierte Unternehmen und öffentlichen Institutionen arbeiten heute schon mit dem Future Room.