Haben Sie schon eine Electronic Discovery–Strategie?

Electronic Discovery ist ein brandheißes Thema für alle deutschen und europäischen Unternehmen, die sich auf dem US-Markt niedergelassen haben, beziehungsweise dort niederlassen möchten. Doch nicht nur in den USA, auch in Europa und Deutschland schlägt der Begriff mittlerweile seine Wellen. 

Der von Anwälten geprägte Begriff meint, dass sich in der heutigen Zeit Rechtsanwälte,  Insolvenzverwalter, Revisoren, Steuerfahnder, Strafverfolger und ganze Behörden, etc. einer technisch sehr komplexen Welt von abgespeicherten, eventuell dazu noch verteilten und zu durchsuchenden Informationen stellen müssen, wenn es ganz allgemein um Beweissicherung geht. Dazu zählen Präsentationen, Budgetdaten, Verträge, Reports, Besprechungsprotokolle, Statistiken, gültige Richtlinien, Baupläne, Emails, etc. Dazu zählen auch unterschiedlichste Speichermedien, Sicherungssysteme, Textverarbeitungs- und Tabellenkalkulationssysteme (nicht selten verhalten sich neue Versionen alleine schon wie unterschiedliche Programme) in denen die Informationen gespeichert sind, und man stelle sich das bitte noch verteilt vor, über verschiedene geographische Länder und Lokationen hinweg, auf unterschiedlichsten Anwendungsplattformen und Betriebssystemen. 

Computer verwalten zunehmend die Geschäftsprozesse moderner Unternehmen, und nehmen im Bezug darauf einen sehr hohen Stellenwert ein, auch wenn das papierlose Büro in den meisten Fällen noch nicht zu 100 Prozent unseren Alltag widerspiegelt.

Erinnern wir uns an einen Artikel der Financial Times Deutschland, der vor über drei Jahren erschienen ist, und dieses Thema aus einem anderen Blickwinkel betrachtet. Der Artikel versuchte anschaulich zu machen, was den europäischen Unternehmen auf dem US-Markt blühen kann, wenn sie – nennen wir es – “…nicht ganz makellos und dazu noch unvorbereitet…”- sind, und interne Informationen als Beweise – aus welchen Gründen auch immer – das Haus verlassen konnten, und in die falschen Hände gerieten, die dann in einem Prozess gegen das Unternehmen verwendet werden.  Viele nicht-amerikanischen Unternehmen kennen die US-Gesetze häufig nicht hinreichend und geraten in die Mühlen der US- Justiz, und wundern sich, wenn sie nach dem Prozess zu einer Millionenstrafe verdonnert werden, die zu Beginn der Niederlassung in der neuen Welt nicht absehbar war.

Da hörten wir die Geschichte der Katze in der Mikrowelle, das Auto mit Automatikschaltung, bei dem gestartet und der Gang eingelegt werden konnte, ohne die Bremse zu treten, welches durch vorrollen das Lieblingsgaragentor zerstörte, dann noch die Erzählung der verschwundenen Lieblingshose eines Richters in der Reinigung. Alles neben Glücksspiel, was freundlichen amerikanischen Staatsbürgern Summen zwischen 1,2 und 2,5 Millionen Dollar gebracht hat – und da ist auch das leider unaufschiebbare Thema Electronic Discovery. Es gibt in den USA eine Beweissicherungsphase vor dem Hauptprozess, die so genannte Pre-Trial Discovery. In dieser Phase kann der Kläger beziehungsweise der Staatsanwalt alle elektronischen und nicht elektronischen (letztere werden hier bewusst außer Acht gelassen) Beweismittel des Angeklagten sichern lassen, die bei der Verhandlung verwendet werden sollen. In Scharen kommen Mitarbeiter der Staatsanwaltschaft beziehungsweise der Justiz zur Beweissicherung und nehmen elektronische Medien mit, beziehungsweise kopieren Daten und sacken alles ein, was geht, und werten natürlich das ganze Material auch aus. Das kann sehr teuer werden, auch im Falle eines eventuell sehr geringen Streitwerts, man behalte sich das bitte für den restlichen Artikel im Hinterkopf. 

Nehmen wir an, ein deutscher Pharmahersteller möchte ein Produkt auf den US-Markt bringen, das Produkt hat alle Testphasen bestanden und könnte eingeführt werden. Doch einer kleinen Gruppe von Pharmazeuten, Chemikern und Ärzten des Unternehmens ist bekannt, dass es da noch die eine oder andere kleine Nebenwirkung gibt, die zwar nur in besagten 1: 1.000.000 Fällen auftreten könnte, aber eventuell einen Menschen mit den Eigenschaften von Alice, Bob oder Hugo töten könnte, und der eine teilt dem anderen dies via Email mit. Der Kollege antwortet: “…ach Schwamm drüber, wir haben die Tests bestanden…egal”. Dann tritt einer der Fälle von Alice, Bob oder Hugo tatsächlich ein, und solche nicht gelöschten oder noch gesicherten, internen Informationen werden dem Kläger zugespielt – dann hat mitunter ein solches Schreiben des öfteren einen Schaden in Höhe einer sechs- bis achtstelligen Summe einer beliebten Währung nach sich gezogen, im Falle Alice, Bob oder Hugo, sowie in anderen tatsächlichen Fällen.

An diesem erfundenen Beispiel wird deutlich, dass dieser Fehler des Medikaments einen ernsthaften Schaden für Leib und Leben nach sich ziehen kann, und wir haben kein Mitleid mit dem Unternehmen. Was aber in Grenzfällen? Was aber, wenn zu Unrecht? Was aber, wenn aus Konkurrenzkampf und Patriotismus?  In anderen Fällen könnten Kleinigkeiten mit einem eventuellen Streitwert von 50.000 bis 100.000 Euro durch Pre-Trial Discovery zu einem Gesamtschaden in Höhe von einer oder auch mehreren Millionen Euro führen, schon allein durch wochenlange Recherche und Auswertung. Da hilft es auch nicht die billige Strafe zu zahlen, denn u.U. gibt es noch gar keine Strafe . “Zahlen aus der Portokasse ist hier leider nicht die Lösung”. Hat das Unternehmen in diesem Fall entweder einen Lösungsansatz oder ausgezeichnetes Risikomanagement etabliert, so wird ein solcher Schaden berücksichtigt sein, beziehungsweise gar nicht erst eintreten. Die meisten Unternehmen haben jedoch weder das eine noch das andere und müssen das Risiko somit voll und ganz tragen.

Kombinieren wir nun den ganz allgemeinen Fall von “Electronic Discovery” mit dem US-Beispiel, dann können wir das Ausmaß der Situation leichter erkennen. Wie soll man sich davor schützen? Gibt es überhaupt einen sicheren Schutz? Und wieder stehen die IT-Leiter im Mittelpunkt, und mit einem Fuß im Knast, die Situation an sich kann sie bereits in die Fahrlässigkeitszone treiben, und sie müssen im schlimmsten Fall für all das gerade stehen. Keine angenehme Position in einer solchen Situation. Kein IT-Leiter möchte die Last eines Unternehmens alleine tragen. 

Hier verhält es sich wie mit der IT-Sicherheit: “Sicher ist, dass nichts sicher ist”. Aber ebenso, wie in der IT-Sicherheit heißt die Devise Schadensbegrenzung und Schadensminimierung. Was muss ein solches Konzept  berücksichtigen? Es muss alle drei Dimensionen der IT im Unternehmen berücksichtigen. Dazu gehören die Dimensionen “Technik”, “Organisation” und “Recht”. Hier sind die Experten jeder Dimension gefragt. Innerhalb dieser Dimensionen muss es fortan jede Schicht berücksichtigen. Das sind die physische Sicherheit, Netzwerke, Systeme, Anwendungen, Inhalte, personelle Aspekte (hier setzen Maßnahmen gegen Social Engineering und das Mitarbeiterbewußtsein an – der mitunter wichtigste Aspekt) und Übergeordnetes. Gemeint ist damit die Kontrolle der IT-Sicherheit, des Datenschutzes und des IT-Risikomanagements durch eine dritte Instanz – damit der Bock nicht zum Gärtner wird.

Nur Maßnahmen über alle drei Dimensionen und sieben Schichten eines ganzheitlichen  Sicherheitsmodells hinweg führen zum Erfolg und dämmen die Risiken ein. Dazu gehören Datensparsamkeit, ein ausgeprägtes, geschultes Kommunikationsverhalten und ein Verhaltenskodex im Unternehmen – do’s and dont’s für Mitarbeiter -, eine wirklich ausgetüftelte Infrastruktur mit einheitlichen Datenformaten in Anwendungen für Benutzer, die später einfacher analysiert oder mit forensischen Mitteln durchsucht werden können (Kostenersparnis durch Zeitersparnis und den Vorteil, dass man nicht gewollte Inhalte vorweg bemängeln beziehungsweise ausräumen kann, bevor diese zu einer Bedrohung werden).

Zur Summe der Maßnahmen gehören auch einheitliche Sicherungssysteme und kluge Sicherungskonzepte, nicht fehlen dürfen zumindest in den kritischen Abteilungen eines Unternehmens Rollen und Berechtigungskonzepte – besser ist es natürlich, solche Konzepte ganzheitlich zu berücksichtigen. Weiterhin benötigt man die Zutat Forensik, der Forensik vorausgehend, natürlich noch ein paar Esslöffel gutes Reporting und die Archivierung von Events, ein wenig interne und externe Inhaltsfilter, interne Tests gegen Social Engineering, eine gute Mitarbeitervorauswahl, die solche Aspekte berücksichtigt (heute stellen manche  Helden von “Unclassified Executives” ihr Personal ganz ohne HR ein, oder zumindest ohne einen Personaler in der Vorauswahl zu involvieren, der speziell dafür – oder wenn man die andere Position einnimmt…dagegen – geschult ist).

Dazu gehört eine Brise weltweite gerichtsverwertbare Erfassung aller Daten, egal welcher Medien, welches Betriebssystem oder welches Backup-System in Einsatz ist. Die Daten sollten mit einfachsten Mitteln für eine Analyse vorbereitet werden können, ohne großen Aufwand, und in kurzer, dem Vorfall angemessener Zeit. Ein Klecks Reduzierung des Datenvolumens nach Abteilungs- und Personenkreisen, die Eingrenzung mittels zeitlicher Kriterien und vor allem De-Duplizierung dürfen nicht vergessen werden. Dazu gehört ein Konzept für einen weltweiten, gesicherten Zugriff auf relevante Daten über das Internet bzw. per remote, und vieles mehr. Doch ein Punkt steht dabei wieder ganz vorn: Der Mitarbeiter und die Kommunikation – und was letzten Endes gespeichert wird.

Ich wollte mit diesem Artikel partout keine Anleitung zur Informationsunterschlagung schreiben. Doch bei dem Beispiel des Pharmakonzerns müssen Mitarbeiter einander nicht unbedingt solche Emails schreiben, die – würden sie an die Öffentlichkeit gelangen – einem Unternehmen und damit sich selbst einen Strick drehen könnten. Entsprechende Gegenmaßnahmen können meistens nur geschult werden und verlangen eine immer wiederkehrende Erinnerung an die Maßnahme. Von daher steht wie immer in meiner Welt der Mitarbeiter ganz oben im Programm, gefolgt von den Prozessen – und zu guter letzt gibt es auch etwas, wie die Technik. Haben Sie schon  einmal über ein Schutzkonzept für Electronic Discovery nachgedacht? Bei großen Unternehmen amortisieren sich die Kosten sehr schnell, nimmt man das Beispiel des Pharmakonzerns (Alice, Bob und Hugo) für bare Münze. Alle großen Unternehmen im Inland, in Europa und den USA haben das Problem. In den USA ist das Risiko zugegebenermaßen höher. Dort sind aber auch andere Maßnahmen durchsetzbarer und einsetzbarer, die in Europa und Deutschland die Herzen des Betriebsrates sowie der IT-, Arbeits-, und Datenausschüsse nicht unbedingt höher schlagen lassen würden – oder gegen das Fernmeldegeheimnis verstoßen würden. In unserem Ländle ist das Risiko, gleich auf Millionen verklagt zu werden aber auch nicht ganz so hoch wie in den USA – und meine Message heißt: NOCH NICHT! Big Brother läuft bekanntlich seit längerem auch schon im deutschen Fernsehen. Kluge IT-Verantwortliche wissen sich frühzeitig mit Hilfe geeigneter Konzepte und Maßnahmen zu schützen, die ein ganzheitliches Sicherheitsmodell mit ausgewählten (modularen) Teilkonzepten, die sich wie beschrieben an den einzelnen Dimensionen und Schichten orientieren, berücksichtigen.

Klug ist, wer das Problem erkennt, begreiftund angeht. Schließlich heißt es ja nicht Kontrablem.

21.7.2010
Alexander Tsolkas