#7 Warum der Internationale Strafgerichtshof (ICC) Microsoft verlässt – und was ihr Unternehmen jetzt wissen muss!

00:00:00: Guten Morgen Jens.

00:00:02: Deine heutige Mission Digitale Souveränität aktivieren.

00:00:07: Willkommen bei Rhetis Reset, dem Podcast für den digitalen Neustart.

00:00:12: Hier spricht Jens Blust, IT-Unternehmer, Digitalstrategie und der Mann, der den Knopf zum Netzwerk Reset drückt.

00:00:19: Digital Souverän statt digital abhängig.

00:00:22: Der erste Schritt beginnt heute.

00:00:26: Herzlich willkommen zu Retis Reset.

00:00:28: Ich bin Jessica Sander und bei mir sitzt der Mann, der bei den Unternehmen den Reset-Knopf drückt.

00:00:33: Jens Plus, hallo Jens.

00:00:35: Schön, dass du da bist.

00:00:36: Hallo Jessica.

00:00:37: Du hast heute ein unglaublich spannendes Thema mitgebracht.

00:00:41: Der Internationale Strafgerichtshof in Den Haag verabschiedet sich von Microsoft Office und wechselt zu Open Desk einer europäischen Open Source Suite ausdrücklich wegen digitaler Souveränität und der Abhängigkeit von US-Technologie.

00:00:56: Das wurde gerade ganz aktuell gemeldet und vom ICC bestätigt.

00:01:00: Wenn das kein Hammer ist, oder?

00:01:02: In der Tat, ich kämpfe ja für Souveränität.

00:01:04: Deswegen war diese Meldung absolutes Wasser auf meine Mühlen.

00:01:08: Das Besondere vor allem der Internationale Strafgerichtshof ist eine Institution, die einfach auch ein Echo hervorruft.

00:01:17: Das ist jemand, der der medial und auch vom vom von den Aktivitäten her im Fokus im Rampenlicht steht.

00:01:25: Das heißt, dass wir haben da tatsächlich jetzt gerade eine große Institution, die Bereit ist tatsächlich einen mutigen Schritt nach vorne zu machen, was Souveränität angeht.

00:01:34: Ja, absolut spannend.

00:01:35: Und ich würde aber natürlich am Anfang wieder, wie wir es schon kennen, mit der provokanten Frage starten.

00:01:41: Jens, lass uns gleich erstmal genau schauen.

00:01:44: Dürfen US-Tech-Konzerne im Ernstfall Institutionen wie den Internationalen Strafgerichtshof digital abschalten?

00:01:51: Und kann das jedem passieren?

00:01:52: Also auch deutschen Unternehmen?

00:01:54: Also Sie haben es gemacht, aber dürfen Sie es auch?

00:01:57: Genau, Jessica, Sie haben es gemacht.

00:01:59: Es ist Fakt, man kann sich jetzt vielleicht noch juristisch mit dem Thema auseinandersetzen, aber wir sind ja nicht mehr in einem juristischen Umfeld, was so vom Amtsgericht oder vom Landesgericht oder vielleicht von einem Bundesgericht in Deutschland stattfindet, sondern wir sind ja in einem Bereich, wo internationale Staaten... gegeneinander arbeiten.

00:02:20: Das heißt, diese ganzen Themen sind ja, haben ja unten die Auswirkungen gehabt.

00:02:26: Am ganz am Ende hatten Strafermittler und Richter am Internationalen Strafgerichtshof nicht mehr arbeiten können, weil eine Stufe obendrüber Microsoft die Accounts abgeschalten hat oder gesperrt hat, weil eine Stufe obendrüber die US-Regierung das zu Microsoft gesagt hat.

00:02:41: Und deswegen sehe ich da jetzt keine, das ist, das ist eine Sache, da reden Staaten miteinander oder die EU mit den USA vielleicht.

00:02:51: Also das ist eine Sache, die auf höchster Ebene im Endeffekt verhandelt werden muss und gar nichts ist, was so in den Paragrafen fassbar ist.

00:03:00: Also ja natürlich, also diese unterschiedlichen Ansichten.

00:03:04: Wir haben in Europa dieses Thema mit der DSGVO und eben grundsätzlich dem Abfluss von Daten nach Amerika und wir haben in Amerika das Bedürfnis, dass die mit dem Cloud Act ausgedrückt haben, dass die US-Regierung im Notfall oder im Zweifelsfall oder wenn sie das möchte, Zugriff nehmen möchte auf die Daten.

00:03:23: Und da haben wir tatsächlich ein Spannungsfeld.

00:03:26: Und das ist nicht gelöst.

00:03:27: Deswegen ja, um einfach eine Frage zurückzukommen, dass digitale Abschalten ist möglich.

00:03:32: Das haben wir gerade gesehen und natürlich kann das genauso in einem deutschen Unternehmen blühen.

00:03:36: Das ist also ein krasses Thema, muss ich sagen.

00:03:38: Wirklich, das berührt mich sehr.

00:03:41: Und ich würde aber gerne erst mal über diesen Ablauf sprechen, die Timeline.

00:03:45: Was ist da wirklich passiert für die Menschen, die das vielleicht noch gar nicht mitbekommen haben?

00:03:49: Wann fing das an?

00:03:49: Was waren die Schritte?

00:03:51: Und warum war der ITC überhaupt relevant?

00:03:56: Auch hier sind wir ja im ganz, ganz, ganz großen Bereich.

00:03:58: Also gestartet hat es alles im Februar.

00:04:00: Oder zumindest im Februar tauchen die ersten Medienberichte auf.

00:04:04: Im Februar... hat die US-Regierung angefangen, Sanktionen zu verhängen gegen einzelne Mitarbeiter des Internationalen Strafgerichtshofs, weil sie angefangen haben, gegen US-Soldaten wegen Kriegsverbrechen in Afghanistan zu ermitteln.

00:04:22: der ursprüngliche Auslöser, an dem alles gestartet hat.

00:04:25: Natürlich muss da schon vorher einiges an Wasser den Rhein runtergeflossen sein.

00:04:29: Also ich denke nicht, dass das jetzt mal eine Kurzschlussentscheidung von irgendeinem kleinen Beamten in Amerika gewesen ist, dass es mit Sicherheit gut durchdiskutiert worden, die haben mit Sicherheit sehr genau überlegt, was sie tun und was sie nicht tun.

00:04:42: Aber was wir da jetzt einfach sehen, ist, dass die USA Die Mitarbeiter, wir reden nicht von kleinen Mitarbeitern, sondern von den Strafermittlern und von Richtern am Internationalen Strafgerichtshof, aktiv in ihrer Arbeit behindert haben, damit sie eben nicht gegen US-Interessen, also die Verfolgung der US-Soldaten arbeiten können.

00:05:07: Das heißt, was wurde da konkret gemacht?

00:05:10: Was haben Sie gesperrt oder wie sind Sie vorgegangen?

00:05:13: Naja, also der Internationale Strafgerichtshof hat zu diesem Zeitpunkt, wie viele viele viele andere Unternehmen auch ganz einfach Microsoft Office oder Microsoft.

00:05:23: D.h.

00:05:23: die Daten der E-Mail-Verkehr, die die die Kalender, also so wie man es halt von dem ganz normalen Unternehmen kennt, auch der auch der Internationale Strafgerichtshof hat diese diese Programmsuite genutzt für für seine Arbeit.

00:05:37: und in dem Moment, wo mal wo mein Account dafür gesperrt ist, komme ich da nicht mehr rein.

00:05:42: Ohne Vorwarnung haben Angeblich wissen wir es, hat Microsoft das bestätigt?

00:05:46: Der Artikel vom Handelsplatz sagt ohne Vorwarnung, ich denke, dass der sauber recherchiert ist.

00:05:52: Microsoft hat sich soweit, ich weiß gar nicht so tief im Detail geäußert, nur Microsoft hat es im Februar noch geleugnet.

00:06:03: Also wenn wir die Timeline haben, wir sind jetzt gerade beim Februar, im Februar ist diese überhaupt diese Sanktion.

00:06:10: bekannt geworden oder in Kraft getreten, das weiß ich nicht so ganz genau.

00:06:13: Und im Mai ging es dann los mit den mit den Sperrungen.

00:06:18: Im Juni waren die Richter betroffen plötzlich und Microsoft hat zu dem Zeitpunkt noch alles dementiert.

00:06:24: Und jetzt muss man kleiner Einschub einfach sagen, dass wenn ein Unternehmen in Amerika von solchen, wie heißt das, Direktiven, Also wenn die US-Regierung an den Unternehmen wegen über den Cloud-Act herantritt und bestimmte Dinge möchte, das unterliegt der strengsten Geheimhaltung.

00:06:42: Also das Unternehmen darf nicht mal sagen, dass es das gibt.

00:06:47: Also sie dürfen eigentlich gar nichts dazu sagen.

00:06:51: Sie können nichts sagen, weil das alles Geheimhaltung ist.

00:06:54: Und deswegen Microsoft hat im Juni noch eben ganz klar dementiert.

00:07:00: Ende Oktober und das ist das Besondere.

00:07:02: Das heißt, wir haben eine sehr, sehr kurze Zeit.

00:07:05: Ende Oktober hat der Internationale Strafgerichtshof bekannt gegeben.

00:07:08: Das ist sich aus dem Office-Tranum-Sächs-Office-Bereich komplett verabschieden.

00:07:15: Und zwar nicht zu einer anderen US-Cloud, sondern eben in eine souveräne Angelegenheit in OpenDesk.

00:07:23: OpenDesk ist ein Konglomerat von verschiedenen... Open-Produkten, die unter einem Bündel zusammen geschnürt wurden, damit man eben auch ähnlich wie Microsoft ein Gesamterlebnis hat, dass man eben nicht sagt, okay, ich nehme das eine Programm aus der Ecke, das andere Programm aus der Ecke und ich muss selber das alles verbinden, sondern man hat das Ganze zusammengeführt und das sind eben auch unter anderem deutsche Anbieter dabei, deutsche Firmen dabei, die diese Produkte pflegen und weiterentwickeln.

00:07:54: Warum ist dieser Wechsel?

00:07:56: So ein Signal über diesen Einzelfall hinaus.

00:08:00: Weil in dem Moment jetzt plötzlich auch der breiten Masse, der breiten Masse an Institutionen, Firmen, auch Privatpersonen bewusst wird, wie weit ein US-Cloud-Act oder eine US-Durchgriffsmöglichkeit, eine US-Regierungs-Durchgriffsmöglichkeit besteht in deutsches souveräne Strukturen hinein.

00:08:23: Denn bislang hat Microsoft ja auch immer wieder beteuert.

00:08:27: Es gibt ja auch ganz viele Häckchen, die man setzen kann, dass die Daten in Europa gespeichert werden und damit ja auch angeblich das deutsche Datenschutzrecht und deutsche, deutsche oder europäische Datensicherheitsumgebung gilt.

00:08:40: Und wir sehen jetzt, dass es nicht so ist.

00:08:44: Besonders Herr Vzeb, in dem Zusammenhang ist die Aussage des eines, eines Microsoft-Vertreters, der von den Franzosen geladen worden ist und der hat unter Eid wurde der zu dem Thema befragt, wie es denn jetzt steht mit den Zugriffsmöglichkeiten von US, behörden auf die Daten französischer Bürger.

00:09:04: Die Franzosen haben sich natürlich hauptsächlich für französische Daten interessiert und da hat der Microsoft-Mitarbeiter ganz klar gesagt, er kann es nicht ausschließen, dass französische Daten von französischen Bürgern auch an US-Stellen gemeldet werden.

00:09:20: Das heißt, was für französische Daten gilt könnte auch so für deutsche Daten gelten.

00:09:26: Genau.

00:09:27: Die Franzosen haben sich halt für den französischen Bereich interessiert.

00:09:30: Die haben nicht nach EU gefragt, sondern nach französischen Daten.

00:09:34: Allerdings gibt es... bei Office oder Microsoft, das ist ein europäisches Produkt, das wurde unter den europäischen, das wird in Europa veröffentlicht und der europäische Datenschutzraum ist einheitlich.

00:09:48: Das heißt, man müsste, ohne dass ich jetzt Jurist bin, ich kann das nicht werten, da ich kein Jurist bin, genauso auch für Deutschland gelten.

00:09:56: Und wir können uns sicher sein, dass würde ein deutsches Unternehmen die Microsoft Cloud benutzen, dass es in einem ähnlichen Fall genauso ablaufen würde.

00:10:06: Und ich muss doch nicht mal ein Standort in den USA haben.

00:10:10: Ja, und überleg dir mal, das ist der Internationale Strafgerichtshof, das ist nicht die Müller-Meier-Schmidt-KHG in Hintertupfingen.

00:10:19: Das ist was, da muss sich auch die US-Regierung bewusst gewesen sein, dass sie damit einen öffentlichen Aufschrei provoziert.

00:10:27: Wo

00:10:27: ich gerade sage, aber wo ist dieser Aufschrei in Deutschland?

00:10:30: Ich war jetzt auf einer Veranstaltung und nur fünf Prozent der Teilnehmer haben überhaupt mit dem Wort digitale Souveränität was anfangen können.

00:10:40: Es ist einfach nach wie vor ein Spezial Thema.

00:10:45: viele außerhalb der IT beschäftigen sich damit gar nicht intensiv.

00:10:49: und ich sage mal auch auch wenn ich jetzt ein Sachbearbeiter im Büro bin oder ein Maschinenbediener irgendwo dann ist das Thema digitale Souveränität maximale privaten Umfeld interessant.

00:11:00: Aber die Unternehmer und, ich sag jetzt auch mal, gewählte Volksvertreter, egal ob jetzt auf Landesebene, Bundesebene oder eben auch auf Kommunalebene, die Daten anvertraut bekommen von ihren Bürgern, Wählern.

00:11:15: Ein Unternehmen kriegt die Daten seiner Mitarbeiter anvertraut oder seiner Kunden.

00:11:20: Da sollte eine Sensibilität plötzlich jetzt langsam entstehen.

00:11:23: Also die Sensibilität trage ich schon seit vielen Jahren in mir.

00:11:27: Ich lebe das schon lange.

00:11:28: Aber die Diese, diese echten, direkten, unmittelbaren Folgen, die treten jetzt gerade das erste Mal so richtig zu Tage.

00:11:37: Da muss ich an einem Beispiel denken, was du mir auch erzählt hast über Bayern.

00:11:42: Wollen wir jetzt darauf zu sprechen kommen?

00:11:44: Vielleicht nur ganz kurz am Rande.

00:11:47: Wir haben in Deutschland zwei Glaubensrichtungen und wir haben zum Beispiel die eine Richtung, die sich eher in Richtung Open Source und Souveränität entwickeln.

00:11:56: Dazu sage ich auch gleich, Open Source ist nicht unbedingt Souveränität.

00:12:00: Man kann durchaus auch Souverän sein und trotzdem Klauplösungen benutzen, aber man muss genau abwägen und man muss sich überlegen, was man verspeichert.

00:12:07: Aber kurz zurück, wir haben die eine Seite.

00:12:12: die sich genau in diese Richtung hin entwickelt.

00:12:14: Zum Beispiel Schleswig-Holstein ist gerade ganz aktiv dabei, genau solche Lösungen einzuführen.

00:12:21: Eben genau Open Desk, so wie es jetzt der Internationale Strafgerichtshof macht.

00:12:25: Genau da geht die Reise in dem Bundesland hin.

00:12:28: Und wir haben diametral entgegengesetzt auf der genau gegenüberliegenden Seite die Bayern.

00:12:35: Wo gerade vor einigen Tagen freudig verkündet wurde, dass also das gesamte Land Bayern beabsichtigt, in die Microsoft Cloud reinzugehen und dass die bayerische Landesregierung durchaus in der Lage ist, das wohl irgendwie juristisch darzustellen und das wohl dann auch mit Datenschutz und sowohl Klärungen gab.

00:12:57: Also nur, wenn schon der Internationale Strafgerichtshof in den Haag abgeschaltet werden kann.

00:13:06: dann ist es nicht wild fantasiert, wenn ich sage, oh, dann könnte es also auch sein, dass das Land Bayern mal plötzlich den einen oder anderen Account gesperrt bekommt oder zumindest die US-Regierung sagt, oh, also die Daten interessieren uns.

00:13:20: Die hätten wir mal gern.

00:13:22: Man muss auch ganz klar sagen, das ist ja kein Geheimnis.

00:13:24: Jedes große Unternehmen macht Lobbyismus und dieser Lobbyismus der Verbände oder der Unternehmen der der hat auch seine.

00:13:33: seine guten seiten darf man nicht ganz vergessen.

00:13:36: aber in dem fall ist diese dieser.

00:13:39: diese diskrepanz ist so irre.

00:13:41: auf der einen seite brennt gerade die hüte und man will unbedingt raus rennen und und tritt die türen buchstäblich ein.

00:13:48: der internet was dieser aufwand da einfach mal alles abzubauen und woanders hin zu übertragen.

00:13:55: Das ist kein, das ist kein Pina, sondern der internationale Strafgerichtshof hat etwa zweitausend Mitarbeiter, das ist kein großes Unternehmen.

00:14:02: Aber die machen das und das ist nicht einfach für die, die müssen da eine Menge, eine Menge machen erst mal, damit sie es können.

00:14:09: Und auf der anderen Seite sehen wir, wie Das scheinbar in Bayern zumindest nur eine untergeordnete Rolle spielt.

00:14:17: Dass man sagt, wir gehen die Risiken bewusst ein.

00:14:20: Also anders kann man ja diese Entscheidung gar nicht verstehen.

00:14:24: Bayern geht die bekannten Risiken der Abgabe, der Souveränität ganz bewusst ein, um irgendwelche Vorteile daraus zu haben.

00:14:33: Also wir kommen einmal zu unserer ersten Rubrik.

00:14:37: Ich würde gerne von dir wissen Jens.

00:14:39: Was ist das wichtigste Learning aus diesem ICC-Fall?

00:14:42: Zwei Learnings.

00:14:43: Das eine ist, dass man zuerst schaut, bevor man solche Lösungen nutzt, was für Daten man da reinlädt, wie abhängig man sich davon macht.

00:14:53: Ich sehe jetzt zum Beispiel, dass man durchaus ein US-Cloud benutzt und bestimmte Dinge wie vielleicht... trivial Themen abzufrühstücken, wo man einfach sagt, okay, wenn, wenn das jetzt gerade nicht da wäre, zum Beispiel ermitteln, wie viele Benutzer jeden Tag auf unserer Website.

00:15:08: Das sind solche Sachen, das, das beeinflusst die Arbeit des ICC im Kern überhaupt nicht.

00:15:14: Das sehe ich überhaupt kein Problem darin, ins zum Beispiel solchen Bereichen auch Cloud Log Dienste oder Cloud Dienste zu benutzen.

00:15:19: Das ist der eine Teil.

00:15:20: Also vorher schauen, trau schau wem.

00:15:24: und das zweite, also auch rechtlich.

00:15:26: und das zweite Learning ist, Ich weiß nicht, ob der ICC, der Internationale Strafgerichtshof, ob der eine Exit-Strategie hatte.

00:15:35: Aber ich bin mir sehr sicher, er hat sie gerade.

00:15:38: Also die werden, wenn sie sie nicht hatten, unter Hochdruck dann gearbeitet haben, wie bekommen wir, wie schaffen wir es, alle unsere Daten da so rauszubekommen, dass wir danach noch damit arbeiten können.

00:15:50: Und das ist eigentlich der Kern.

00:15:52: Im Endeffekt, wir sehen so viele Unternehmen, die gar keine Alternative haben.

00:15:57: eine Cloud zu verwenden, einfach weil bestimmte Produkte nur dort verfügbar sind.

00:16:02: Ja, aber man entscheidet sich bewusst und man schaut, was laden wir rein, was holen wir raus?

00:16:09: und wenn tatsächlich die E-Mail-Kommunikation, die interne E-Mail-Kommunikation im Strafgerichtshof.

00:16:15: die Arbeit eines Ermittlers oder einer Richterin blockiert, dann wäre das ein Dienst, den ich nicht in eine Cloud so auslangen würde, dass ich ihn nicht selbst steuern kann.

00:16:26: Man muss ja auch dazu sagen, es gibt nicht die Cloud.

00:16:28: Es gibt einfach drei, vier, fünf, sechs, sieben, eine Million verschiedene Spielvarianten davon.

00:16:35: Und bei jeder Spielvariante habe ich einen unterschiedlichen Grad an Abhängigkeit.

00:16:40: Software as a Service ist halt sehr viel weniger Souverän als Infrastruktur als ein Service.

00:16:46: Deswegen, da muss ein Fachmann dann aber im Endeffekt mit am Tisch sitzen.

00:16:49: Ich wollte gerade sagen, können wir da diese Checkliste, die wir im letzten Folge angesprochen haben, wer die da jetzt wieder sinnvoll auch?

00:16:55: Die Checkliste handelt das auf einem sehr abstrakten Nibbo ab, aber ja, natürlich, da wird genauso gefragt.

00:16:59: Das heißt, dies Jahr wieder oder weiterhin immer noch kostenlos auf deiner Seite, kann man sich die downloaden, ne?

00:17:05: Genau.

00:17:06: Sehr gut.

00:17:06: Lass uns doch noch mal.

00:17:07: Du hast es ja schon eigentlich immer schon ein bisschen drüber gesprochen.

00:17:09: Aber wenn du digitale Souveränität an diesem Beispiel vom ICC erklärst, was heißt das konkret in Technikprozessen und Entscheidungen?

00:17:17: Die digitale Souveränität muss natürlich oben anfangen.

00:17:19: Das heißt, das muss von oben herab ganz klar definiert sein, dass das ein Ziel ist, bevor man einen Cloud Service einführt oder eine Abhängigkeit eingeht.

00:17:29: Das kann ja, das muss ja nicht unbedingt ein Cloud Service sein.

00:17:31: Es könnte ja auch irgendwie... Hardware oder Technik, Technologie sein, die man sich eingekauft hat, die muss ja nicht in der Cloud laufen, die kann auch im Keller sein.

00:17:39: Aber dass man sich vorher bewusst ist und zwar muss das meiner Meinung nach von oben eine ganz klare Kommunikation durchs ganze Unternehmen kommen, dass das wichtig ist.

00:17:47: So dass von vorne herein nur Produkte Abläufe und Geräte oder Technologien ausgewählt werden, die in dieses Schema reinpassen.

00:17:56: Und gerade jetzt mit dem Zehn-Punkter-Plan, da kann man sagen, okay, wir prüfen doch jetzt mal das Produkt gegen.

00:18:02: Und wenn wir zum Beispiel feststellen, dass wir die PDFs, die wir da reinladen, nie wieder da rausbekommen oder dass das Ding eine Million Datensätze generiert, aber die immer in diesem Gerät oder in dieser Cloud oder in dieser Technologie drin sind und wir keine Möglichkeit haben, das nach außen zu übertragen.

00:18:19: Dann muss ich ganz klar sagen, dann sind wir in dem Bereich nicht mehr souverän.

00:18:22: Also wir können nicht mehr selbst entscheiden, was passiert.

00:18:25: Und das ist für ein Unternehmen oder meiner Meinung nach auch für eine Verwaltung oder für eine Regierung unglaublich wichtig, überlebensnotwendig.

00:18:34: Existenz bedrohen, wenn man so will.

00:18:37: Man kann ja nicht von einem Programm oder von einer Technologie abhängig machen, ob man morgen noch den Schlüssel rumdrehen kann.

00:18:44: Absolut.

00:18:45: Ich würde jetzt doch gerne nochmal konkret auf Deutschland zu sprechen kommen und inwieweit, dass die Unternehmen hier in Deutschland betreffen könnte.

00:18:51: Ob das vielleicht nur Konzerne, Banken oder auch den Mittelstand, Kommunen, Verbände, es kann jeden betreffen, ja?

00:18:59: Naja, jeder setzt, also man... hat es liegen soweit ich weiß keine genauen zahlen vor wie viele wie viele prozent der unternehmen der verwaltung mir jetzt office oder microsoft oder vergleichbare produkte das sagen wir vielleicht nachher gleich im anschluss noch mal was dazu oder vergleichbare produkte einsetzen.

00:19:18: aber im endeffekt ist jedes dieser unternehmen verwundbar vom solo selbstständigen der keine ahnung dass das office paket benutzt um um seine seine kleine excel tabelle zu machen bis hin zum großen unternehmen das größere Datenbanken oder andere Tools dort nutzt.

00:19:36: Ich mag es ja gerne, wenn wir konkret über ein Zeitraum sprechen.

00:19:41: Wie behalten wir Schlüssel zu unseren Daten und was stellen wir in neunzig Tagen realistisch um?

00:19:46: Ist das realistisch in neunzig Tagen?

00:19:49: Die Frage kann man auf zwei verschiedene Arten und Weisen verstehen.

00:19:54: Wenn du jetzt ein Problem hast und jetzt kommen gerade keine E-Mails mehr bei dir an, dann kannst du jetzt innerhalb von sehr sehr sehr kurzer Zeit, also wir reden von wenigen Minuten bis Stunden, deine E-Mails einfach umleiten.

00:20:09: Die E-Mails kommen dann einfach woanders an und das kann ein Unternehmen oder auch eine Privatperson In gewissem Maße selbst bestimmen, wenn sie jetzt nicht bei gmx, eins und eins web.de oder sowas und Standard-Email-Postfach hat, sondern wenn du eine eigene Domäne hast.

00:20:24: Jedes Unternehmen hat eine eigene Domäne, auch die Landesverbände haben eine eigene Domäne.

00:20:29: Also da muss man ganz klar sagen, in dem Moment, wo einem selbst eine Domäne gehört, kann ich sehr genau steuern, wo meine Daten hinfließen, aber eben nur alles, was neu ist.

00:20:40: Genauso ist es mit der Verschlüsselung.

00:20:42: In dem Moment, wo ich merke, oh, hier sind Daten gar nicht verschlüsselt, kann ich hergehen und eine bei den allermeisten Produkten eine Verschlüsselung einschalten.

00:20:53: Und wenn ich diesen Schlüssel selber in der Hand habe, also selbst generiert habe, dann sind die Daten auch ab dem Zeitpunkt relativ sicher vor dem Zugriff Dritter.

00:21:03: Alles was bis zu dem Zeitpunkt da allerdings reingelaufen ist, das ist dann unter Umständen, muss mir bewusst sein, dass alles bis dahin dann in den Händen anderer war.

00:21:13: Das heißt, man kann sehr schnell umstellen, aber man verliert halt den Bestand.

00:21:17: Okay,

00:21:18: aber das heißt sehr schnell umstellen, mit diesem Bewusstsein jetzt umstellen.

00:21:22: Genau.

00:21:23: Und würde man jetzt nicht in einer Notsituation handeln.

00:21:26: Ich habe gerade gesagt, man kann keine Frage in zweierlei Art und Weise verstehen.

00:21:29: Das eine ist diese Not, ich muss sofort handeln.

00:21:32: Und das andere ist, hey, wenn ich neunzig Tage Zeit habe, was könnte man denn tun?

00:21:39: Mit neunzig Tagen Vorlauf kann man sich einen anderen Anbieter in aller Ruhe auswählen.

00:21:44: Man kann sagen, okay, wir besuchen jetzt jemand für einen bestimmten Dienst, zum Beispiel für Mail oder sowas.

00:21:50: Onsack.

00:21:51: Okay, wir prüfen das.

00:21:52: Neunzig Tage ist ein bisschen wenig für eine Prüfung, aber wenn man sich ranhält, geht viel.

00:21:57: Und dann kann man natürlich in der Regel, wenn die Daten exportierbar sind, in neunzig Tagen auch woanders hinziehen.

00:22:05: Es hängt vom Willen ab.

00:22:07: Also der Wille, und da sage ich auch ganz klar, der Wille auf Unternehmer-Ebene muss da sein.

00:22:12: Der Wille auf der oberen Ebene muss da sein, das zu tun.

00:22:15: Denn im Endeffekt wird es auf den nachgelagerten Ebenen Widerstände geben, weil Der Button ist jetzt rund statt eckig.

00:22:23: Die E-Mail war früher immer auf der linken Seite dargestellt, statt auf der rechten Seite.

00:22:26: Also es gibt natürlich immer irgendwo ein bisschen Reibung und es ist wichtig, dass das Unternehmen dann auch diesen Mehrwert erklärt, dass man eben in so eine Situation wie jetzt der internationale Strafgerichtshof gar nicht kommen kann.

00:22:40: Denken wir mal einen Schritt weiter.

00:22:43: Gerade im Zusammenhang mit deiner Frage gerade.

00:22:46: Ich habe ja gesagt, du kannst, wenn du Not hast, quasi relativ schnell Wechseln, aber die bisherigen Daten sind da alle noch.

00:22:54: Wie ist das jetzt eigentlich beim Strafgerichtshof?

00:22:57: Also wenn die da jetzt raus migrieren, ich meine, Daten kann man kopieren.

00:23:03: Also sind wir eigentlich sicher, dass all diese Daten, die bislang in der Microsoft klaut im Bereich des internationalen Strafgerichtshofs gespeichert worden sind, dass die danach auch gelöscht worden sind.

00:23:17: Das kann nur Microsoft beantworten.

00:23:20: Und die reden ja nicht gerne drüber.

00:23:22: Naja, manchmal hat man auch Sicherheitskopien.

00:23:25: Entschuldigung, Backups.

00:23:26: Sicherungskopien, das dauert eine Weile, bis die überschrieben sind.

00:23:30: Aber es sind einfach Fragestellungen, die hat man sich jetzt einfach viele Jahre überhaupt nicht stellen müssen.

00:23:35: Es hat alles funktioniert, man hat gut zusammengearbeitet.

00:23:37: Es gab überhaupt keinen, dass es so brenzlig wird.

00:23:41: Das gab es bisher nicht.

00:23:42: Und jetzt haben wir einen Fall, der das ganz klar zeigt.

00:23:46: Und zwar nicht ganz unten, sondern ganz ganz oben.

00:23:49: Was ist denn das Minimum, dass ich wegen dieser Regeln irgendwie haben sollte?

00:23:53: Klar, ein Exitplan, gibt es irgendwelche Übungen, die ich machen kann im Unternehmen, Vertragsanpassung, was gehört dazu?

00:23:59: Der Exitplan beinhaltet das ja alles schon wahrscheinlich,

00:24:01: ne?

00:24:01: Ja, richtig.

00:24:02: Also im Endeffekt sicher ist man nie, man hat immer ein gewisses Restrisiko und am Ende des Tages, ob das jetzt ein Hackerangriff war und die Daten abgeflossen sind oder ob man sich in den Cloud begeben hat, wo die Daten abfließen können.

00:24:15: Ich glaube, man hat immer ein gewisses Restrisiko, dass man nicht beherrschen kann.

00:24:19: Das muss man sich ganz klar machen.

00:24:20: Hundert Prozent gibt es nicht.

00:24:21: Es gibt immer ein Restrisiko.

00:24:23: Aber man kann sich im Vorfeld einfach überlegen, okay, wenn ich da eine blöde Situation komme, was kann ich tun, um überhaupt schnell wechseln zu können?

00:24:32: Kann ich wechseln?

00:24:33: Und wenn man das einfach vorher in aller Ruhe macht, bevor man das Produkt einführt oder bevor man irgendwo eine echte Problematik hat, dann hat man eigentlich schon gewonnen.

00:24:41: Also ich sage ganz klar, das ist eine Vorbereitungsfrage.

00:24:45: und keine Frage für den Notfall.

00:24:46: Da macht ihr auch diesen IT-Risiko-Check, oder?

00:24:50: Was würde da passieren?

00:24:51: Was für Daten braucht ihr?

00:24:52: Wie umfangreich ist so ein Termin?

00:24:53: Oder könnt ihr davon extern drauf schauen?

00:24:55: Muss man ins Unternehmen?

00:24:55: Wie läuft denn sowas eigentlich ab?

00:24:57: Also unser IT-Risiko-Check ist eigentlich ein ganz, ganz gut nachgefragtes Produkt.

00:25:01: Da geht es genau darum, die Unternehmen sind ja verpflichtet, eine Risikobewertung für ihre Anlage zu machen.

00:25:06: Und wir schauen auf die Anlage und am Anfang besprechen wir mit dem Unternehmen, wo der Schwerpunkt liegen soll.

00:25:14: Es gibt einen Fünfzehn-Punkte-Check, wo das Unternehmen ihre Anforderungen zeigt.

00:25:20: Also was ist denn jetzt wichtig?

00:25:22: Ist eben diese Datensicherheit besonders wichtig?

00:25:25: Ist in der Datenschutz besonders wichtig?

00:25:27: Also auf dieser Skala und wir bewerten dann die IT gegen diese Skala.

00:25:32: Wenn du also sagst, dir ist der Datenschutz mega wichtig.

00:25:36: Und dann, und dann sehen wir, dass du in einer Office-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Microsoft-Mic

00:26:01: Gut, zweihundert Mitarbeitende ungefähr.

00:26:03: Sie nutzen Microsoft, dreihundertfünfundsechzig.

00:26:05: Projekte laufen international.

00:26:08: Was richten Sie in dreißig Tagen ein?

00:26:10: Oder was könntest du in dreißig Tagen einrichten, damit, damit Sie so eine Störung überstehen?

00:26:14: Oder was sollten Sie machen innerhalb von dreißig Tagen?

00:26:16: Jetzt bin ich ja mit dreißig Tagen schon wieder weit weg von diesen neunzig Tagen.

00:26:20: Das wird immer dramatischer hier.

00:26:25: Sagen wir mal so, würde man tatsächlich realistisch als Unternehmen sagen wollen, hey, das ist für uns eine wichtige Größenordnung, wir wollen in der Lage sein innerhalb von dreißig Tagen daraus zu kommen, dann kann man natürlich ein paar Vorbereitungen treffen.

00:26:40: Das ist gar keine Frage.

00:26:41: Das Tolle ist, wenn man diese Vorbereitungen einmal durchgeführt hat, kommt gleich drauf, was man machen könnte.

00:26:46: Wenn man diese Vorbereitungen einmal durchgeführt hat, dann kosten die eigentlich im Laufe der des Bereithaltens unter Umständen gar keine großen Gelder, sondern es ist eher die Zeit, das durchzudenken, die Zeit diese Datenmigration zu planen.

00:27:06: Das ist das, was Zeit, Nerven und Geld kostet.

00:27:08: Aber wenn man das vorher macht, dann kann man jederzeit innerhalb von dreißig Tagen auch aus einer Klaut raus.

00:27:16: Was würde man machen?

00:27:16: Also ich meine die Cloud Anbieter sind das Internet, das Internet ist die Cloud.

00:27:20: Also man hat verschiedene Dienste.

00:27:23: Und je integrierter der Dienste ist, desto schwieriger wird es daraus zu kommen.

00:27:27: Das heißt erste Variante, man hat einen sogenannten Software as a Service.

00:27:32: Software, du kriegst das Gesamtpaket vom Anbieter.

00:27:36: Da ist alles drin.

00:27:38: Zum Beispiel Produktionssoftware für Podcasts.

00:27:43: Da erstellt

00:27:45: man einen Account und dann hat man seine Anbieter und da ist alles drin.

00:27:50: Vielleicht sogar bis zur Reichweitenmessung, bis zur Veröffentlichung, wie gesagt, oder jetzt zum Beispiel, wenn man zum Beispiel so eine Software wie Papierkram.

00:27:59: Papierkram.de ist ein tolles Programm mit dem kleinen... Selbstständige mal ganz schnell eine Rechnung schreiben können.

00:28:05: Die Daten sind da alle drin.

00:28:06: Das heißt, das ist ein hoch integriertes Produkt und da sind viele, viele Prozesse drin abgebildet.

00:28:12: Das ist am allerschwierigsten aufzulösen.

00:28:15: SAAS erfordert wirklich sehr viel.

00:28:20: Also als größeres Unternehmen, das schaffst du nicht in dreißig Tagen.

00:28:24: Das zweite ist Plattform, das ist Service.

00:28:26: Da ist es ein bisschen einfacher.

00:28:27: Man kriegt quasi ein einheitliche Plattform zur Verfügung gestellt und kann da selber seine Module reinklicken.

00:28:33: Das ist zum Beispiel, was könnte man da jetzt als zum Beispiel, oh du ist so eine Plattform.

00:28:39: Ja, das ist auch ein ERP System, aber es ist modular.

00:28:42: Der eine hat vielleicht nur ein Dokumentenmanagement System reingeklickt.

00:28:46: Der andere hat irgendwas anderes.

00:28:48: zum Beispiel ein E-Mail-Massenversender da reingeklickt.

00:28:51: Das sind so einzelne Prozesse.

00:28:53: Oder wenn man Plattform, also Service, da gibt es einfach eine unglaubliche Masse.

00:29:01: Es wird ein universelles Programm bereitgestellt und darauf setzt du deine eigenen Intelligenzen auf.

00:29:07: Es klingt ja schon

00:29:08: ein bisschen souveräner.

00:29:10: Es klingt nicht nur zum Beispiel AWS.

00:29:13: Du kannst dort in verschiedenen Formaten Dateien speichern als S-III zum Beispiel oder auf virtuellen Maschinen.

00:29:19: Das ist eine Plattform und da kann ich tatsächlich aber meine Daten relativ genau umgrenzen und kann die auch in einen gleichwertigen Dienst von einem anderen Plattformanbieter verschieben.

00:29:30: S-Dreispeicher.

00:29:31: S-Dreispeicher gibt es bei AWS, S-Dreispeicher gibt es bei Google und S-Dreispeicher gibt es auch bei Microsoft.

00:29:37: Das heißt, da habe ich eine größere Variabilität.

00:29:40: Ich kann sehr viel einfacher umschiften.

00:29:43: Und die größte Freiheit hast du, wenn du einen sogenannten IAS-Dienst benutzt.

00:29:47: Das heißt, du mietest nur Rechenkapazität, Speicher, solche Ressourcen.

00:29:54: Aber alles, was drauf aufsetzt, hast du in deiner Hand.

00:29:57: Und damit kannst du ...

00:29:59: Also, das wäre sozusagen das, was ich in den nächsten dreißig Tagen angehen würde.

00:30:02: Alternativen suchen.

00:30:04: Wenn du dreißig Tage Zeit hast, fängst du heute an, Alternativen zu suchen.

00:30:07: Du schaust mal, was gibt es denn noch an Anbietern für die wichtige Kerntechnologien, die ich einsetze.

00:30:16: Wenn du also hier als Podcasterin ein besonderes Podcastprogramm benutzt, Dann hast du eine gewisse Anzahl von Anbietern, die du stattdessen einsetzen könntest oder hier.

00:30:26: Wir haben hier tolle Technologie auf dem Tisch stehen, voll hochwertige, tolle Mikrofone.

00:30:31: Wir haben ein tolles Mischpult, wir haben einen Laptop.

00:30:34: Und wenn du jetzt sagst, hey, ich würde das gerne austauschen, dann gehst du auf die Suche nach anderen Mikrofonen, anderen Mischpulten oder einem anderen Laptop.

00:30:43: Aufwendig.

00:30:44: Aufwendig, ja.

00:30:45: Und man muss es wollen.

00:30:48: Ja, das ist ja so bequem auch, ne?

00:30:51: Jens, zum Schluss.

00:30:53: Du hast sicherlich noch einen Schlussimpuls für uns.

00:30:57: Wichtig wäre mir, wir haben jetzt unglaublich viel über Microsoft gesprochen.

00:31:02: Ich möchte ganz klar sagen, es geht mir nicht um Microsoft.

00:31:06: Auch Microsoft hat ganz tolle Produkte am Markt, zu denen es eigentlich fast keine Alternativen gibt, wo wirklich gut sind und wo bestimmte Unternehmen nutzen müssen, um überhaupt konkurrenzfähig zu sein.

00:31:19: Das ist ganz klar.

00:31:20: Microsoft war jetzt symbolisch in der ganzen Diskussion, das war halt der konkrete Fall mit dem ICC, aber wir haben noch viel mehr US-Cloud-Anbieter hier.

00:31:31: Und ob ich jetzt zu Microsoft gehe oder zu Google gehe oder zu Apple, es ist alles aus der US-Rechtsphäre.

00:31:43: und das heißt, ich Wenn ich jetzt plane, Microsoft durch Google zu ersetzen, dann hat sich nichts geändert.

00:31:50: Deswegen, wenn man tatsächlich souveräne Alternativen sucht, dann wäre meine Empfehlung entweder europäische Produkte oder am liebsten natürlich immer regionale Produkte, um die Wertschöpfung regional zu halten.

00:32:03: Aber das ist natürlich nicht immer möglich.

00:32:05: Aber aus dem Rechtsraum der EU, da kann man relativ sicher sein, dass ebenso übergriffige regierungsneugierende geringer ist.

00:32:14: Man kann natürlich nie alles vorhersehen, aber sagen wir mal in der EU.

00:32:17: Oder man nutzt eben gleich Open Source und sagt, okay, wenn wir jetzt schon bereit sind, uns zu verändern, wenn wir bereit sind, zu schauen.

00:32:24: Open Source ist eigentlich die nachhaltigste Lösung.

00:32:29: Natürlich ist die nicht kostenlos.

00:32:31: Weil ich brauche professionellen Support, ich brauche Profis, die das unterstützen.

00:32:35: Ich muss das Know-how aufbauen, um damit richtig umgehen zu können als Unternehmen.

00:32:39: Das ist nicht kostenlos, aber es ist nachhaltig.

00:32:42: Denn es kann von niemandem einfach mal so schnell abgestellt werden.

00:32:46: Gerade wenn man jetzt die größeren Produkte nutzt, die sind sehr stabil.

00:32:50: Ich weiß, und darauf kommt es ja an als Unternehmen, dass man weiter arbeiten kann.

00:32:53: Richtig, es geht um, es geht im Endeffekt, ich hatte die Frage gestellt, was ist denn der Sinn und Zweck des Unternehmens am Ende des Tages?

00:33:00: Da kam also auf der Veranstaltung, wo ich da war, da habe ich gefragt, ja, was ist der Sinn und Zweck von einem Unternehmen?

00:33:05: Und natürlich kam dann, ja, Gewinn machen und aber... Eigentlich ist der Sinn eines Unternehmens am nächsten Tag immer noch zu bestehen.

00:33:14: Das heißt, zunächst mal muss ich wie bei so einer Bedürfnispyramide, bei so einer maßloschen Bedürfnispyramide, ich muss unten erstmal die Basics sicherstellen.

00:33:22: In der heutigen Generation sagt man WLAN und Akku.

00:33:24: Ein Unternehmen muss halt in der Lage sein, überhaupt reagieren zu können.

00:33:29: Und dann kommen die Bequemlichkeiten, dann kommen so die nächsten Sachen wie Schlaf, Essen und so weiter.

00:33:35: Und ich denke einfach, diese Basis, dass man früher jederzeit irgendwas anderes machen konnte, jederzeit was anderes benutzen konnte und jetzt plötzlich andere Nieds im Markt sind.

00:33:46: Meine Empfehlung ist einfach an Unternehmen und auch in diesem Sinne ganz klar an Verwaltungen, Organisationen, jede Organisation die in irgendeiner Art und Weise IT benutzt.

00:33:58: Klammer auf, inklusive Cloud Klammer zu.

00:34:01: Achtet darauf, was ihr einsetzt und wie ihr es einsetzt, damit man in der Lage ist, im Notfall tatsächlich reagieren zu können und besser heute einen Souverän, also einen Berater zu fragen, der einem da weiterhelfen kann als dann, wenn es zu spät ist.

00:34:15: Jens,

00:34:16: vielen, vielen Dank für das Thema, für diese wunderbare Folge, für diesen Einblick in diesen Fall, aber auch natürlich wieder deine ganz konkreten To-dos für uns.

00:34:24: Also es war sehr spannend, sehr aktuell, sehr spannend.

00:34:26: Vielen, vielen Dank.

00:34:27: Herzlich gerne.

00:34:28: Ja, vielen Dank fürs Zuhören.

00:34:30: Uns gibt's ja alle zwei Wochen und alle wichtigen Infos.

00:34:33: Natürlich auch der Link zur Checkliste.

00:34:35: Das findet ihr unten in den Show Notes.

00:34:37: Und wir freuen uns schon auf das nächste Mal.

00:34:38: Bis dahin, alles Gute.

00:34:40: Und nicht vergessen, Digitalsyberänen statt digital abhängig.

00:34:44: Der Neustart beginnt jetzt.