Wie in der letzten Woche mehrere Medien berichteten, kam es vor kurzem zu einem Treffen zwischen Vertretern der wichtigsten US-Tech-Konzerne, unter ihnen Microsoft, Apple, Google sowie Amazon, und dem US-amerikanischen Präsidenten Joe Biden. Die Unternehmensvertreter versicherten, ihre Investitionen im Bereich Cybersicherheit stark aufstocken zu wollen, die Rede ist von mehreren Milliarden US-Dollar.
Apple zum Beispiel plant die Umsetzung eines neuen Programms zur besseren Absicherung der gesamten Technologie-Lieferkette. Im Fokus steht hier der kontinuierliche Austausch des Unternehmens mit seinen Zulieferern, etwa im Bereich Security Awareness, aber auch Sicherheitslücken sollen schneller und effektiver behoben werden. Apple-Konkurrent Microsoft plant Ausgaben im Rahmen von 20 Milliarden Dollar innerhalb der nächsten fünf Jahre, Ziel sei hier die schnellere Implementierung modernster Security-Lösungen. Der Suchmaschinengigant Google plant im gleichen Zeitraum, 10 Milliarden Dollar in die Förderung von IT-Security-Programmen zu investieren. Amazon hat vor, seine Sicherheitsschulungen, die bisher dem eigenen Personal vorbehalten waren, der breiten Öffentlich zugänglich zu machen.
Die Tatsache, dass führende amerikanische Technologiekonzerne den Ernst der Lage im Bereich Cybersicherheit erkennen und große Summen in diesem Bereich investieren, ist zunächst einmal positiv. Dass hier dringend Handlungsbedarf besteht, zeigte auch jüngst eine Studie des Digitalverbandes bitkom. Diese verdeutlicht, dass allein der deutschen Wirtschaft jährlich ein Schaden von 223 Milliarden Euro durch Diebstahl, Spionage und Sabotage entsteht, die Lage dürfte in den USA kaum entspannter sein. Auch ein Aufwärtstrend gibt Grund zur Sorge, denn die von bitkom ermittelte Schadenssumme ist hierzulande mehr als doppelt so hoch wie noch in den Jahren 2018/2019. Insgesamt waren neun von zehn Unternehmen (88 Prozent) betroffen, in den Jahren 2018/2019 gerieten mit drei Viertel der Betriebe (75 Prozent) deutlich weniger Firmen ins Visier von Cyberkriminellen. Dies spiegelt sich auch im Bewusstsein der Nutzer wider, denn laut einer repräsentativen Umfrage des Instituts für Demoskopie Allensbach und des Centrums für Strategie und Höhere Führung aus dem Februar 2021 sagten etwa zwei Drittel der Deutschen, der Staat sollte mehr tun, um Datenbetrug im Internet zu bekämpfen (67 Prozent) und den Missbrauch von persönlichen Daten durch Unternehmen zu unterbinden (66 Prozent).
Auch wenn die zusätzlichen finanziellen Mittel der amerikanischen Unternehmen für den Bereich IT-Security ein wichtiges und richtiges Signal und ein Schritt in die richtige Richtung sind, greift dieser an entscheidender Stelle zu kurz. Firmen und Endnutzer haben von diesen Investitionen letzten Endes wenig konkrete Vorteile. Denn amerikanische Unternehmen unterliegen weiterhin dem problematischen CLOUD Act, der auf Datenschutz- und Cybersicherheitsebene eine große Gefahr darstellt, weil die Datenhoheit hier nicht beim Nutzer oder den Betrieben selbst liegt und Informationen theoretisch von US-Behörden eingesehen werden können. Auch eine vollständige DSGVO-Compliance ist hiermit praktisch ausgeschlossen. Die Tatsache, dass Apple und Co. etwa Ressourcen in Security Awareness investieren, ist zwar löblich und angemessen, um mehr Bewusstsein für die Gefahren in der breiten Bevölkerung zu schaffen. Aber entscheidend für Betriebe, die auf der Suche nach technischen Lösungen wie etwa für den sicheren Datenaustausch sind, ist, dass sie sich bei der von ihnen implementierten Lösung sicher sein können, dass diese mit jeglichen Datenschutzrichtlinien konform ist und ein Maximum an IT-Sicherheit mitbringt. Denn somit ist es für Cyberkriminelle allein von technischer Seite aus sehr schwer, Daten abzugreifen oder sich Zugang in das Firmennetzwerk zu verschaffen. Aus diesem Grund sind Unternehmen gut beraten, weiterhin auf Software zu setzen, die in Europa entwickelt und gehostet wird. Somit bleiben die Investitionen der Tech-Konzerne leider eine gute Geste, die aber für europäische Firmen und ihr alltägliches IT-Securitylevel und ihre Compliance mit Datenschutzgesetzen konkret wenig ändert.