Können Sie in wenigen Sätzen für alle im Unternehmen verständlich erklären, WARUM der Veränderungsprozess (z.B. Einführung von IT-Lösungen, Umstellung auf agiles Projektmanagement, Neustrukturierung der Verkaufsprozesse, …) notwendig und sinnvoll ist? Falls nicht, sollten Sie dringend darüber nachdenken. Aus einem einfachen Grund: Der Mensch ist simpel gestrickt. Wenn wir nicht erkennen, warum etwas für uns sinnvoll ist oder einen Mehrwert stiftet, halten wir die Füße still. Für Entscheider bedeutet das: Verstehen Mitarbeiter und Stakeholder weder den Kontext noch die Ziele des Veränderungsprojekts, kommt der Prozess mit hoher Wahrscheinlichkeit zum Erliegen.

Mein Tipp: Haben Sie stets überzeugende Antworten auf diese beiden Fragen parat:

1. Warum müssen wir etwas verändern?
2. Wie profitieren wir und andere (Mitarbeiter, Führungskräfte, Kunden, …) davon?

Ich bin mir sicher, Sie haben gute Gründe für Ihr Handeln und was Ihnen wichtig ist. Die haben andere jedoch auch und die sind häufig nicht identisch mit Ihren Gründen. Es gilt also die Schnittmenge der Interessen herauszufinden. Was ist für mich, aber auch für den anderen relevant?

Ein Beispiel: Nehmen wir an, Sie wollen in Ihrem Unternehmen von eine seit Jahren bestehende IT-Lösung auf eine Open Source-Lösung umstellen. Für das Management ist vermutlich relevant, dass es Kostenersparnisse gibt der Umstieg leicht erfolgen kann. Für Mitarbeiter ist besonders relevant, dass sie sich auch nach der Veränderung gut im Programm zurechtfinden, alles intuitiv bleibt und nichts verloren geht. Für IT-Experten im Unternehmen ist zum Beispiel der Schutz der digitalen Souveränität ihres Unternehmens relevant und dass eine nahtlose Integration mit anderen für das Unternehmen wichtige Lösungen erfolgt. Dies sind nur drei von vielen Zielgruppen (Management, Mitarbeiter, IT-Experten) und gleichzeitig hat jede davon andere Bedürfnisse und Interessen.

Mein Tipp: Wer Change-Projekte erfolgreich kommunizieren möchte, muss Perspektiven wechseln und seine Zielgruppen sehr gut kennen. Fragen Sie sich:

• Wer ist alles von der Transformation bzw. unserem Veränderungsvorhaben (z.B. dem IT-Projekt) betroffen und in welchem Maße?
• Welche Bedürfnisse, Fragen, Wünsche, Sorgen, Ängste oder Vorurteile gibt es?
• Wie kann ich die jeweilige Zielgruppe am besten erreichen, mit ihnen in den Dialog treten und sie partizipieren lassen?
• Welche zentralen Botschaften zum Veränderungsprojekt sind uns wichtig?
• Welche Botschaften sind außerdem für die jeweilige Zielgruppe wichtig, um der Veränderung positiv zu begegnen?

Je mehr Klarheit Sie zu den Zielgruppen im Veränderungsprojekt haben, desto passgenauer können Sie kommunizieren und entscheiden, auf welchem Weg Sie Ihre Zielgruppen bestmöglich erreichen, beteiligen und in den Dialog treten (Wichtig: KEINE Einwegkommunikation, sondern Austausch = zuhören, nachfragen, lernen, ableiten). Was außerdem hilft: ein Fragen-Antworten-Katalog (FAQ) für alle relevanten Personen, die im Veränderungsprojekt Rede und Antwort stehen müssen. Der bietet Verlässlichkeit für alle und legt die Basis für eine einheitliche Kommunikation. Dies schafft Glaubwürdigkeit und Vertrauen in allen Zielgruppen.

Einer der häufigsten Fehler, den ich bei Veränderungsprojekten sehe, ist: Der Fokus wird nur auf das Neue und die Vorteile gerichtet. Was bei den Mitarbeitern jedoch bleibt, ist die quälende und häufig den Prozess ausbremsende Frage: „Wozu das Ganze? War denn alles schlecht, was wir bisher gemacht haben?“ Die Antwort darauf lautet ehrlicherweise in der Regel: „Nein, war es nicht.“ Nur leider sagt dies selten jemand. Häufig nicht mal absichtlich, sondern meist eher aus Begeisterung für die Ziele, die durch den Change-Prozess erreicht werden. Mitarbeiter sehnen sich jedoch nach Wertschätzung und zur Wertschätzung gehört Würdigung.

Mein Tipp: Entwickeln Sie eine Change Story. Sie würdigt den gesamten Veränderungsprozess und transportiert auf leicht verständliche Art den Sinn der Neuerung. Sie spricht neben Zahlen, Daten und Fakten auch Emotionen an. Dies ist besonders wichtig vor dem Hintergrund, dass alle menschlichen Entscheidungen in unserem Unterbewusstsein begründet werden und dieses Unterbewusstsein kann nun mal keine Daten, Fakten und Zahlen verarbeiten, sondern nur Bilder und Emotionen.

Die Change Story beantwortet zentrale Fragen und schafft ein gemeinsames Bild bzw. eine Metapher, die identitätsstiftend für den gesamten Veränderungsprozess ist. Sie ist so einfach gehalten, dass alle Mitarbeiter sie gut verstehen können. Eine häufig verwendete Metapher ist etwa die der Reise, auf die man sich gemeinsam begibt – mit einem Sehnsuchtsziel vor Augen. Oder die Bergwanderung – um nach getaner Arbeit die Aussicht gemeinsam zu genießen. Oder im Fall der oben genannten Hinwendung zu Open Source, könnte die Metapher zum Beispiel sein, sich aus den Zwängen Goliaths zu befreien.

Die Change Story beantwortet Fragen wie:

• Warum müssen wir etwas ändern?
• Vor welchen Herausforderungen stehen wir, die die Veränderung erfordern?
• Was haben wir gemeinsam bisher Großes geleistet und geschafft?
• Warum kann es dennoch nicht so bleiben?
• Wie können wir es gemeinsam schaffen, neue Wege zu beschreiten?
• Was werden wir jetzt tun?
• Was erwartet uns am Ziel?

Je mehr Klarheit Sie als Projektverantwortlicher und die beteiligten Führungskräfte zu diesen Fragen haben, desto besser können Sie konsistent kommunizieren und erklären.

Insbesondere bei größeren Veränderungsprojekten sind Führungskräfte im mittleren Management zentrale Erfolgsfaktoren für den Change. Schließlich müssen sie ihren Teams den Wandel erklären und diesen vorantreiben. Regelmäßig stelle ich jedoch fest, dass das Top-Management die Führungskräfte im besten Fall als fähig erachten („Die können das!“) und im schlechten Fall zu Erfüllungsgehilfen degradieren („Das ist ihr Job. Die sollen es einfach machen.“). Was viele unterschätzen: Viele Führungskräfte und Teamleitungen haben keine Erfahrung mit Change-Projekten. Darüber hinaus sind in großen Transformationen Führungskräfte häufig selbst von den Veränderungen betroffen. In ihrer Rolle müssen Sie alles dafür tun, dass Unternehmensziele erreicht werden können. Als Mitarbeiter haben auch sie mit eigenen Unsicherheiten zu kämpfen.

Mein Tipp: Stellen Sie sicher, dass Ihre Führungskräfte ihren Job nicht nur machen sollen, sondern ihn auch leisten können? Dabei geht es um:

• Klarheit zur Rolle: Welche konkreten Erwartungen hat der Vorstand oder die Geschäftsführung an die Führungskräfte mit Blick auf den Change-Prozess?
• Klarheit zur Aufgabe: Welches Verhalten ist von den Führungskräften erwünscht?
• Klarheit zur Kompetenz: Wie gut können die Führungskräfte schon heute Unterstützung für schwierige Themen einwerben?
• Klarheit zur Unterstützung: Welche Angebote machen Sie den Führungskräften, um diese im Veränderungsprozess bestmöglich zu befähigen?

Sehr häufig begegnen mir bei der Planung von Veränderungen in Organisationen folgende Sätze:

• „Wir dürfen auf gar keinen Fall von Veränderung sprechen.“
• „Wir sagen besser, dass im Wesentlichen alles bleibt, wie es ist.“
• „Wir müssen betonen, dass die Einführung kein großes Ding ist.“

Dahinter verbirgt sich meist die Sorge, dass Mitarbeiter über die Neuerungen verunsichert sein könnten, sich beschweren oder – um es in den Worten meiner Kunden zu sagen – „ein Fass aufmachen“ könnten. Mitarbeiter haben jedoch feine Antennen. Und dort, wo Veränderung erfolgt, wird es IMMER Unsicherheit geben. Dies zu ignorieren, wäre fatal, denn an den oben erwähnten Sätzen werden Vorstand und Geschäftsführung immer wieder gemessen – und können nur scheitern. Am Ende stehen sie schlimmstenfalls als Lügner da.

Mein Tipp: Haben Sie den Mut, die Dinge klar beim Namen zu nennen – auch wenn‘s schmerzhaft ist. Wichtig ist dabei, alles gut zu erklären und aufzuzeigen, welches die nächsten Schritte sind. Übrigens gehört dazu auch, deutlich zu sagen, wenn etwas noch nicht klar ist. Dies ist in Veränderungsprozessen immer der Fall. Zeigen Sie hingegen auf, wie es weitergeht und bis wann (sofern Sie dies sagen können) eine Klärung erfolgt, werden die Mitarbeiter und Stakeholder es Ihnen danken. Klarheit schafft Verlässlichkeit, ein tragende Pfeiler und motivierender Faktor für erfolgreiche Change-Projekte – auch in der IT.

Noch ist das gesamte Ausmaß des Angriffs nicht absehbar: Hacker hatten vor Kurzem einen Signaturschlüssel (Masterkey) von Microsoft (MS) geklaut und sich damit Zugriff zu Outlook-Konten von US-Behörden sowie auf Exchange-Konten europäischer Regierungsbehörden verschafft. Offenbar hatten die Angreifer auch freien Zugriff auf zahlreiche Dateien der Cloud sowie zu Anwendungen wie Teams und Sharepoint. Bei dem gestohlenen Schlüssel handelt es sich um einen OpenID Signing Key für das Azure Active Directory (Azure AD ist das zentrale Identitätsmanagement von MS, s.u.). Der Vorfall blieb wochenlang unentdeckt. Die Reaktion von Microsoft? Der Konzern hielt sich bedeckt, legte nur stückweise widerstrebend Details zu dem Sicherheitsdebakel offen.

Zur Einordnung:

100-prozentige Sicherheit gibt es nirgendwo. Allerdings fragt man sich schon:

1. Wie kann es sein, dass dieser Angriff lange unentdeckt blieb?
2. Wie kann es sein, dass nicht Microsoft selbst den Angriff bemerkt hat, sondern von einem Kunden darauf hingewiesen werden musste?
3. Wie kann es sein, dass Microsoft selbst bei einem derart umfangreichen Datenschutzversagen nur häppchenweise und nur unter Druck Aufklärung betreibt?
4. Wie kann es sein, dass dieses Cloud-Fiasko, mit dem Hacker quasi Zugriff auf das gesamte MS-Universum hatten, weiten Teilen der Öffentlichkeit und damit großen Teilen von MS-Usern offenbar verborgen blieb?

Es gäbe zahlreiche weitere Fragen, die wir hier auflisten könnten. Transparenz gegenüber dem Kunden und Datenschutz sieht in jedem Fall anders aus.

Cloud als Fluch und Segen

Cloud-Lösungen (Software as a Service / SaaS) sind Fluch und Segen zugleich. Ein Segen, weil sie uns viele positive Möglichkeiten, wie problemlose Kollaboration weltweit, ermöglichen. Ein Fluch, weil sie uns abhängig machen. Ebenso unreflektiert und unhinterfragt wie viele vor 20 bis 30 Jahren Windows und MS Office auf ihren Arbeitsplätzen und später ihren Servern installiert haben, buchen heute Privatpersonen wie Organisationen Microsoft 365 und ein Konglomerat aus weiteren Cloud-Diensten. Schnell wird dabei der Ruf nach einem zentralen Identitymanagement (IdM) laut: Ein User loggt sich nur einmal ein und kann dann alle Dienste sofort nutzen, ohne sich überall erneut anmelden zu müssen. Ist ebenso verlockend wie nützlich. Nur war im o.g. Fall eben genau dieses Microsoft-IdM „Azure AD“ gleichzeitig der Türöffner für den Spionage-Akt. Noch vor einiger Zeit galten zentrale IdM (bspw. das eigene, unternehmensinterne Active Directory (AD)) als Heiliger Gral, den niemand außerhalb des Unternehmensnetzwerks akzeptiert hätte.

Die Folge: Microsoft entscheidet heute nunmehr nicht mehr nur darüber, mit welcher Software ich arbeite (und was ich damit (nicht) tun kann). Der Konzern entscheidet nicht nur, wo meine Daten (völlig außerhalb MEINER Kontrolle!) liegen, er ÜBERWACHT nun sogar, welche Benutzer (und welche Unternehmen/Organisationen!!) WANN und WIE LANGE WELCHE Dienste verwenden und vor allem: WELCHE Dienste Anwender überhaupt und eben WIE INTENSIV nutzen. Das ist mehr als nur Marktbeobachtung oder umstrittene Nutzungsanalyse via Telemetriedaten. Das öffnet aus unserer Sicht elementarer Überwachung an zentraler Stelle und auf äußerst detailliertem Niveau Tür und Tor. Und war es nicht eigentlich immer schon so: Das was möglich ist, wird auch gemacht? (Wir können hier zwar nur vermuten, dass es so ist. Über die allgegenwärtige Datensammelwut und die damit verbundene Profilbildung von Usern hatten wir bereits geschrieben).

Übrigens steht schon der nächste Coup von Microsoft vor der Tür: Der Tech-Gigant will eine äußerst fragwürdige wie bereits umstrittene Funktion in seinem Edge-Browser etablieren (Edge Canary). Ziel ist, jede besuchte Website als Screenshot zu speichern – angeblich, um Nutzern das Wiederfinden von besuchten Seiten zu erleichtern. Unsere Vermutung ist jedoch: Die Screenshots bieten MS eine weitere Option, um Nutzerdaten und Nutzungsverhalten abzugreifen. Wer dies nicht möchte, sollte besser auf andere Browser ausweichen (siehe dazu auch „Fall 2“).

Unser Rat:

Ganz einfach: Vertrauen ist gut, Kontrolle ist besser. Und blindes Vertrauen kann enormen Schaden anrichten. Wer sich Datenschutz, Transparenz und Selbstbestimmtheit wünscht, kommt nicht umhin, sich auch mit dem Kleingedruckten zu beschäftigen. AGB zu lesen, gehört wohl für niemanden zur Lieblingsbeschäftigung. Gleichzeitig stehen dort alle relevante Informationen, die Sie benötigen. Darüber hinaus empfehlen wir:

1. Vor dem Einsatz einer Lösung mögliche Alternativen bewerten und vergleichen. Es muss nicht immer das nächstliegende Produkt sein oder die Lösung, die scheinbar jeder nimmt, weil es dem Eindruck nach einfach alle so machen.
2. Während große Anbieter sich oftmals einfach wegducken oder Geschehnisse aussitzen können (siehe oben), stehen kleinere und mittelständische Anbieter zu ihrem Wort. Denn welcher Mittelständler baut sich schon über Jahre mühsam Ruf und Reputation auf, um dieses Vertrauen dann einfach aufs Spiel zu setzen?
3. Fassen Sie immer auch Open Source-Lösungen ins Auge. Transparenz schafft Vertrauen. Bei Open Source Lösungen ist dieses Merkmal im Wesenskern enthalten. Das Vertrauen in eine große (unabhängige) Entwicklergemeinschaft kann gegenüber rein von wirtschaftlichen Interessen geleiteten Anbietern gerechtfertigt sein.

WEI: Drei Buchstaben, die harmlos klingen, jedoch großes Sprengpotenzial haben. Zumindest dann, wenn man sich nicht endgültig vom freien Internet verabschieden will. Sie denken, wir übertreiben? Dann machen Sie sich gerne selbst ein Bild von der Google Neueinführung „WEB Environment Integrity“ (WEI). Nicht nur wir, sondern vor allem unabhängige Sicherheitsexperten warnen zuhauf vor der Einführung, weil sie Datenmissbrauch salonfähig mache und das Ende des freien Internets einläute. Die Änderungen sind auch deshalb so schwerwiegend, weil fast alle modernen Browser auf Google Chromium basieren.  

Zur Einordnung:

Bei WEI handelt es sich um eine Programmierschnittstelle (API), mit der Google das Fingerprinting auf ein neues Level hebt. Google ermöglicht Entwicklern, bestimmte Kombinationen von Browser-Betriebssystemen zuzulassen oder eben zu verbieten. In Folge könnte Usern, die bestimmte Sicherheitseinstellungen (z.B. Adblocker) im Browser vorgenommen haben, Webseiten nicht mehr angezeigt werden. Oder es könnten andere Browser nach Ermessen von Website-Betreibern ausgeschlossen werden. Mit einem Anteil von Google Chrome am globalen Browser-Markt von mehr als 77 Prozent wird die Bedeutung der Einführung von WEI einmal mehr deutlich …

Unser Rat:

Wer sich dem Google-Diktat nicht unterwerfen und ein weiterhin zensurfreies und freies Internet erleben möchte, sollte sich zur Wehr setzen, z.B. indem Sie

1. einen alternativen Browser verwenden wie Brave, Firefox, LibreWolf, Vivaldi usw. Brave und Vivaldi basieren auf Chromium, der Open Source-Version von Google Chrome. Brave lehnt die WEI sehr deutlich und sehr entschieden ab und verspricht seinen Nutzern, das Brave alle Chromium-Funktionen, die die Privatsphäre oder den Komfort der Nutzer beeinträchtigen, entfernen oder deaktivieren würde – ein Vorteil, der ohne Open Source so überhaupt nicht umsetzbar wäre.
2. Bewusstsein schaffen, indem Sie andere Anwender informieren und möglichst vielen Menschen aufzeigen, welche gefährlichen Einschränkungen drohen, wenn diese digitalen Handschellen Anwendung finden würden.
3. die Augen nach einschlägigen Petitionen offenhalten und mit Entscheidungsträgern und Kontakten in Politik und Medien sprechen, um auf die Sachlage aufmerksam zu machen.

Im August hat auch Zoom aufmerksame User wie Datenschützer auf den Plan gerufen, und zwar mit höchst umstrittenen wie weitreichenden Änderungen der AGB. Der Videotelefonie-Anbieter plant nicht weniger, als die Nutzungsdaten von Zoom-Nutzern für KI-Trainings zu verwenden. Hierfür will Zoom sich den (das muss man sich auf der Zunge zergehen lassen!) vollen und zeitlich unbegrenzten Zugriff auf Telemetrie-, Produktionsnutzungs- und Diagnosedaten seiner Kunden sichern. Zwar ist das Unternehmen nach großem Shitstorm zurückgerudert, in den AGB bleibt jedoch weiterhin dieser fragwürdige Satz enthalten: „Sie erteilen Zoom eine unbefristete, weltweite, nicht exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz und gewähren Zoom alle anderen Rechte, die zur zulässigen Nutzung erforderlich oder notwendig sind.“

Zur Einordnung:

Wie so oft versucht auch Zoom durch eine Änderung der AGB, Datenschutzrechte seiner Kunden auszuhöhlen. Das Unternehmen bedient sich dabei einer Methode, die sich allgemein großer Beliebtheit erfreut: Sie ändert die Allgemeinen Geschäftsbedingungen, verweist Kunden zwar darauf, doch die verstehen nur Bahnhof. WAS diese Änderung ganz KONKRET für den Kunden bedeutet und inwieweit seine Datenschutz- und Nutzungsrechte beschnitten werden, ist ihm oft nicht klar. Es ist nicht das erste Mal, dass Zoom in die Kritik gerät. Während der Coronazeit stand das US-Unternehmen wegen mangelndem Datenschutz und Sicherheitsproblemen massiv in der Kritik. Auch deshalb, weil es auf Drängen von China unter anderem Gespräche von chinesischen Menschenrechtsaktivisten unterbrochen hatte.

Unser Rat:

Videotelefonie ist aus dem Arbeitsalltag nicht mehr wegzudenken und ein sehr hilfreiches Tool. Damit Sie mit Ihren Gesprächspartnern unbeschwert kommunizieren können, empfehlen wir Ihnen,  

1. die Open Source-Lösung BigBlueButton. Verschlüsselte Datenübertragung ist ebenso selbstverständlich wie die Möglichkeit zum DSGVO-konformen Betrieb. BigBlueButton kann auf eigenen Servern betrieben oder als SaaS-Lösung aus der Cloud bezogen werden.
2. bedarfsweise weitere Alternativen ins Auge zu fassen, z.B. OpenTalk, Jitsi, …
3. bei allen Angeboten (insbes. den „üblichen“ proprietären) genau hinzusehen und auf das Kleingedruckte (AGB usw.) zu achten. Das häufig anzutreffende Microsoft Teams dürfte hier nur begrenzt als Alternative geeignet sein, bestehen (außer beim Anbieter Microsoft selbst) doch begründete Zweifel daran, dass ein DSGVO-konformer Einsatz dieser Lösung möglich ist.

Wer von unterwegs arbeitet, muss häufig auf das Unternehmensnetzwerk zugreifen. Allerdings nutzen Mitarbeiter hierfür ebenso häufig schlecht gesicherte Verbindungen – im schlimmsten Fall offenes WLAN wie am Flughafen oder im Café. Jedes Einwählen in das Netzwerk sowie das Versenden und Abrufen von Daten stellt dann ein potenzielles Sicherheitsrisiko für Ihr Unternehmen dar. Die Lösung: ein Virtual Private Network (VPN) wie zum Beispiel WireGuard oder OpenVPN. Beide Lösungen sind Open Source Software und verschlüsseln jegliche Kommunikation. Ohne VPN können alle versendeten Daten, einfach von Cyber-Kriminellen ausspioniert werden. Dies geschieht oftmals innerhalb von Sekunden und ohne, dass Sie oder Ihr Mitarbeiter etwas davon merkt

Manchmal reicht eine einzige E-Mail, um Ihr Unternehmen zu ruinieren. E-Mails sind und bleiben das Haupteinfallstor für Schadsoftware und Angriffe auf Unternehmen und Einrichtungen. Von Phishing-Mails und Ransomware haben außerdem wohl die meisten Mail-User schon gehört. Doch solange sie nicht selbst in die Falle getappt sind, befindet sich bei den meisten Nutzern das Risikobewusstsein noch im Dämmerschlaf. Wer in diesem Zustand unbedacht den Anhang einer E-Mail öffnet, kann eine Lawine lostreten. Denn Malware und Viren infizieren das Firmennetzwerk, sensible Datensätze werden ausgespäht oder geklaut, schlimmstenfalls verschlüsselt (Lösegelderpressung). Spätestens dann ist jeder User hellwach – und Geschäftsleitung und IT-Mannschaft in Aufruhr.

Das beste Schutzschild vor Cyberangriffen ist:

1. Eine sehr gute Spam- und Malware-Lösung (wir haben hier sehr gute Erfahrung mit Hornetsecurity gemacht).
2. Eine IT-Sicherheitsschulung: Jeder Mitarbeiter, dem Remote Work und / oder Workation ermöglicht wird, sollte die Risiken kennen und Gefahren des IT-Alltags (gerade unterwegs) einordnen können.
3. Beim Admin rückversichern: Jeder, der ein Firmen-Notebook nutzt, sollte sich beim Admin erkundigen, ob der Virenschutz dauerhaft aktuell bleibt, auch wenn man eine Zeit lang nicht direkt im Firmennetzwerk ist. Falls nicht: Unbedingt klären, dass der Virenschutz regelmäßig Updates erhält!

Cloud-Services werden immer beliebter. Erleichtern Filesharing, Conceptboards und Planungstools das kollaborative Arbeiten doch enorm. Immer und jederzeit alles griffbereit dank webbasierter Anwendungen? Dies nutzen viele Firmen. Gleichzeitig liegen viele wertvolle Daten und manches betriebsinterne Dokument lokal auf dem Notebook. (Dazu gehören letztlich auch Zugangsdaten. Man denke hier besonders an die Passwörter zahlreicher Online-Accounts, die leider allzuoft im Browser gespeichert werden). Das Risiko erheblichen Verlusts erhöht sich durch das mobile Arbeiten, sollte der Rechner gestohlen werden, unbeobachtet sein oder aus Versehen verloren gehen. Sind dann die Daten nicht verschlüsselt, öffnet jeder User Neugierigen bis Cyber-Kriminellen Tür und Tor. Unsere Empfehlung: Verschlüsseln Sie am besten die ganze Festplatte – mindestens jedoch wichtige Dateien und Dokumente.Damit gehen Sie auf Nummer sicher.

Extra-Tipp: Verwenden Sie ein sicheres Passwort, denn sonst nützt auch die beste Verschlüsselung nichts. Optimieren Sie Ihre Passwortsicherheit durch geeignete Password-Manager. Bitwarden, Keepass und andere bieten hier geeignete (teils unternehmensweite) Lösungen.

Mit Schatten-IT sind all jene Handlungen am Rechner gemeint, die meist ohne Wissen der IT-Administratoren und auch jenseits der Firmen-Policy erfolgen, zum Beispiel durch die Verwendung von Cloud-Lösungen und Web-Services, bspw. zum Transfer großer Datenmengen u.v.m. Viele Dienstprogramme und Lösungen, die online frei nutzbar und leicht verfügbar sind, vereinfachen die Arbeit. Oft nutzen Mitarbeiter diese Angebote ohne Hintergedanken. Sie suchen nach pragmatischen Lösungen und werden mit wenigen Klicks schnell fündig. Einzig: Der Admin kriegt davon in der Regel nichts mit und würde ihnen vermutlich auch die rote Karte zeigen. Denn die unbedachte und ungefragte Nutzung bedeutet auch unkontrollierbare Sicherheitsrisiken – nicht nur für den Rechner des Mitarbeiters, sondern für die Daten und Informationen des ganzen Unternehmens. All diese Risiken sind in der Praxis nur einen Mausklick entfernt..

Die eigene Identität zu verschleiern und die Privatsphäre zu schützen, geht noch besser: Wenn Sie eine Mehr-Browser-Strategie fahren – und (was noch viel wichtiger ist) diese konsequent umsetzen! –, können Sie in Sachen Anonymität und Privatheit noch mehr rausholen. Verwenden Sie hierfür beim alltäglichen Surfen, für die Informationsbeschaffung und alles, was ohne Anmeldung bei bestimmten Seiten nutzbar ist, ausschließlich den Tor-Browser.

Immer wieder verwenden Mitarbeiter im Urlaub oder unterwegs ihr privates Notebook, um Berufliches zu erledigen. Alle Ehre diesem Arbeitseifer und gleichzeitig lauern auch hier Cyber-Gefahren, weil IT-Sicherheitsstandards des Unternehmens auf dem privaten Gerät fehlen. Hinzu kommt, dass private Notebooks häufig von mehreren Personen im Haushalt genutzt werden, wie dem Partner und den Kindern. Wer als Unternehmen remote Work ermöglicht, sollte daher unbedingt Firmen-Notebooks mit hohem IT-Sicherheitsstandard bereitstellen und seine Mitarbeiter entsprechend für die mobile Nutzung schulen. Wer als Mitarbeiter nicht in die Bredouille kommen möchte, sollte auf die berufliche Nutzung privater Hardware verzichten und sich über Risiken umfassend informieren. Dann wird Workation zumindest IT-seitig sicher ein Erfolg.

Wer sicher sein möchte, dass der genutzte Browser die eigene Privatsphäre schützt, sollte sich keinesfalls auf die Standardeinstellungen verlassen. Achten Sie auf folgende Merkmale, damit Ihre Privatsphäre so gut wie möglich geschützt ist – und beachten Sie, dass dies nur die elementarsten Basics sind (bitte sehen Sie zusätzlich die anderen Tipps):

• Prüfen Sie die Datenschutz- und Sicherheitseinstellungen kritisch und deaktivieren Sie diese ggf. Der Verzicht komfortabler Features bedeutet i.d.R. ein Mehr an Sicherheit und Privatsphäre. Bei Google Chrome etwa sollte „Suchanfragen und das Surfen verbessern“ deaktiviert sein.
• Aktivieren Sie das maximale Level bei Safe Browsing („sicheres Surfen“).
• Blockieren Sie Cookies von Dritt-Anbietern.
• Deaktivieren Sie das Senden von Telemetriedaten und Nutzungsberichten, Produktanalysen, automatische Diagnoseberichte und andere „Meldung an den Hersteller“-Funktionen (auch wenn diese häufig euphemistisch mit „helfen Sie mit, …“ oder „Tragen Sie zur Verbesserung des Surf-Erlebnisses bei“ o.ä. beworben werden. Wo „anonym“ draufsteht, muss nicht zwangsläufig „anonym“ drin sein.

Mit den o.g. wenigen Klicks tragen Sie bei den Einstellungen selbst zur Sicherheit des aktuellen oder neuen Browsers bei. Zusätzlich helfen folgende Schritte, Ihre Daten und Ihr Surfverhalten optimal zu schützen:

• Deaktivieren Sie die Autofill-Funktion für Adressen und Zahlungsmethoden.
• Deaktivieren Sie das automatische Speichern von Passwörtern. Verwenden Sie stattdessen geeignete Passwort-Manager wie Bitwarden oder bspw. KeePass.
• Löschen Sie Cookies, Browserverlauf und Websitedaten regelmäßig.

Neben diesen Grundlagen gibt es weitere Dinge, die Sie beachten sollten. Besonders dann, wenn es darum geht, Ihre Anonymität und Sicherheit deutlich zu erhöhen. Dazu zählen insbesondere:

• Vermeiden bzw. erschweren Sie das sog. „Browser Fingerprinting“. Dies ist eine Methode, die dazu dient, Sie in der Masse von Internetbenutzern (trotz aller Abwehrmaßnahmen) möglichst eindeutig identifizieren zu können.
• Verhindern Sie die ungewollten Ausführung von JavaScript, indem Sie – je nach Browser – zum Beispiel das Plugin „NoScript“ aktivieren (Firefox, Chrome) oder bei Brave anklicken „Websites dürfen nicht JavaScript“ verwenden.
• Blockieren Sie Werbeanzeigen und Tracker ebenfalls durch Plugins wie uBlock Origin oder PrivacyBadger. Bei Brave die Einstellungen im Bereich „Schutz“ aktivieren und konfigurieren.
  
  

Um hier Herr des Verfahrens zu werden, bedarf es sogenannter Browser Plug-ins oder Erweiterungen, die kostenlos zur Verfügung stehen und einfach per Mausklick im Browser installiert werden können. In Tipp Nr. 3 unten stelle ich Ihnen die aus meiner Sicht wichtigsten und besten Plug-ins zur Erhöhung Ihrer Sicherheit und Privatsphäre vor.

Last but not least sollten Sie auch darauf achten, dass Ihr Browser regelmäßig Updates zum Schließen von Sicherheitslücken installiert. Dies ist i.d.R. durch die Auto-Update-Funktion Ihres Browser gewährleistet. Achten Sie dennoch darauf, dass Sie wirklich die aktuellste Version Ihres Browsers nutzen.

Google Chrome hat sich inzwischen als deutlicher Marktführer im Bereich Webbrowser etabliert. Laut StatCounter setzen etwa Zweidrittel aller Nutzer inzwischen Google Chrome ein. Firefox (einst marktführend) fristet inzwischen faktisch nur noch ein Schattendasein. Aber in puncto Privatsphäre ist bei Google Chrome Obacht geboten, denn standardmäßig verfolgt und trackt Chrome seine Nutzer, wenn man nichts dagegen tut. Es werden neben Absturzberichten auch Informationen zum  Nutzungsverhalten und weitere Details an Google gesendet. Grund genug also, Chrome in seiner Standardkonfiguration sehr kritisch zu betrachten.

In diesem Zusammenhang hat sich bei uns IT-Experten in den letzten Jahren ein Browser als besonders interessante Alternative zu den etablierten Playern hervorgetan: Der Open-Source-Browser Brave. Es basiert auf Chromium (Chromium ist eine quelloffene Variante des Browsers Google Chrome), bietet aber vergleichsweise starke Sicherheits- und Datenschutzoptionen inklusive Blocker für Tracker und Werbeanzeigen. Der Browser läuft auf Windows, Mac, Linux, iOS und Android. Von Haus aus bietet Brave eine Reihe sinnvoller und nützlicher Einstellmöglichkeiten, die das Surfen sicherer und zugleich datenschutzfreundlicher gestalten.

Um die Sicherheit und Privatsphäre noch weiter zu erhöhen, können zusätzliche Browser-Plug-ins installiert werden. Praktischerweise stehen bei Brave alle Plug-ins zur Verfügung, die auch für Googles Chrome Browser existieren. Damit fehlt es also an nichts. Zusätzliche Plug-ins lassen sich allerdings nicht in der mobilen Brave-Version auf iOS und Android installieren. Jedoch sind hier dieselben Browser-Einstellungen wie auf dem Rechner verfügbar, sodass auch mobil und unterwegs ein hohes Maß an Sicherheit und Privatsphäre erreicht werden kann.

Herausforderung bei Plug-ins

Wo Licht ist, ist jedoch bekanntlich auch Schatten. Der Vollständigkeit halber sei daher erwähnt, dass der Browser, wenn Plug-ins über den Google Chrome Store installiert werden, dadurch natürlich eine Verbindung zu Google herstellt. Und dies nicht nur bei der Installation, sondern auch danach, weil Brave automatisch nach Updates der installierten Erweiterungen im Chrome Store sucht. Wer Verbindungen zu Google grundsätzlich vermeiden möchte, muss auf Plug-ins aus dem Chrome Store verzichten.

Out of the Box sind die Standardeinstellungen von Brave nicht geeignet, die Privatsphäre besonders zu schützen oder die Sicherheit zu erhöhen. Hier müssen also zunächst einige Einstellmöglichkeiten ausgeschöpft werden, um das gewollte „Mehr“ zu erreichen. In den Einstellungen unter „Datenschutz und Sicherheit“ sowie „Schutz“ finden Sie die relevanten Optionen.

Brave & Startpage: ein perfektes Duo

Analysen haben ergeben, dass Brave beim Start sowie bei der Verwendung durch den Benutzer verschiedene Verbindungen zu Brave-Servern aufbaut. Das verwässert den guten Gesamteindruck des Browsers leider. Auf der anderen Seite werden (ohne installierte Plug-ins) keine Verbindungen zu Google hergestellt und es lebt sich daher vergleichsweise unbeschwert hinsichtlich des Trackings durch Big Tech.

Um sich so weit wie möglich aus den Fängen der Datenkraken zu befreien, ist Brave ein guter Ansatz, sofern Sie die Browser-Einstellungen für Sicherheit und Datenschutz ausschöpfen. Konsequenterweise sollten Sie jedoch nicht vergessen, zusätzlich die standardmäßig verwendete Suchmaschine zu ändern. Brave bietet zwar mit Brave Search eine eigene Suchmaschine an. Wie weit diese tatsächlich trackingfrei ist, sei dahingestellt (auch wenn Tracking und Werbung angeblich herausgefiltert werden). Hier ist eine alternative Suchmaschine wie Startpage sicherlich eine exzellente Alternative.

Nahezu jedes gute Programm kann durch Plug-ins noch besser gemacht werden. Zur Erweiterung des Browsers empfehle ich folgende Plug-ins, die ich selbst für Brave verwende und damit sehr gute Erfahrungen gemacht habe:

• Cookie AutoDelete (löscht Cookies automatisch nach dem Schließen des Tabs)
• Startpage Privatsphäre-Schutz (verhindert das Anlegen eines persönliches Datenprofils sowie Browser-Fingerprinting)
• Startpage Datenschutz-Suchmaschine (sichere Suche ohne Tracking, Speichern oder Verkauf des Suchverlaufs)
• uBlock Origin (blockiert Werbung, Tracker oder Malvertising)

Hohes Maß an Sicherheit

Allerdings bleibt beim besten Browser und Plug-ins immer ein Restrisiko, durch einen Hackerangriff zu Schaden zu kommen oder getrackt zu werden. Eine 100-prozentige Sicherheit gibt es nicht. Dennoch lohnt es sich, seinen Browser zu überprüfen oder sogar zu wechseln. Selbst Komforteinbußen, die anfänglich noch nervig sind – beispielsweise das Erlauben des Java-Scripts –, werden schnell zur Gewohnheit. Ich verzichte lieber etwas auf Bequemlichkeit, erhöhe dafür aber die Sicherheit beim Surfen.

Wer zusätzlich zu dem durch die vorgenannten Tipps erreichbaren Schutz- und Privatsphäre-Niveau noch einen Schritt weitergehen möchte, um tatsächlich so weit wie möglich unerkannt und trackingfrei im Netz zu surfen, dem empfehle ich den Tor-Browser. Er schützt seine Nutzer unter anderem durch Anonymisierung der Datenverbindungen. Tor nutzt dabei eine Reihe von Maßnahmen, die sicherstellen, dass unter anderem Surfgewohnheiten nicht trackbar sind. Praktisch ist, dass Tor direkt im Brave-Browser integriert ist. Sie müssen also nicht erst Tor downloaden und installieren, sondern können mit Brave einfach ein neues Fenster mit dem Tor-Browser öffnen. Einfacher geht es nicht.

Was der Fullscreen über Sie preisgibt

Anonymität und Datenschutz spielen bei Tor eine sehr große Rolle. Sie sollten jedoch ein paar Details beachten. So ist es beispielsweise wenig sinnvoll, mit Tor anonym durch das Netz zu surfen, um sich dann auf bestimmten Seiten, Portalen, sozialen Netzwerken oder Shops mit seinen Zugangsdaten einzuloggen. Wer dies tut, ist identifiziert. Die Anonymität ist dann hin.

Ebenfalls sollte der Tor-Browser nicht im Fullscreen-Modus ausgeführt werden, sondern als kleineres Fenster auf dem Desktop. Verändern Sie außerdem ab und zu die Größe des Browser-Fensters. Warum? Weil jeder Browser verrät, wie groß das aktuelle Fenster des Browsers ist. Im Fullscreen-Betrieb würden Sie zum Beispiel ungewollt Informationen über die Größe Ihres Monitors preisgeben. Wer sogar jahrelang den gleichen Monitor und den Browser ständig im Fullscreen nutzt, macht sich so eindeutiger und identifizierbarer, als wenn er wechselnde Informationen über seine technische Ausstattung preisgibt.

Extra-Tipp: Wenn Sie sehen möchten, was Webseiten-Betreiber beim Besuch einer Webseite alles über Sie erfahren, rufen Sie diese Webseite auf und sehen Sie, was Ihr Browser so alles über Sie verrät.

Die eigene Identität zu verschleiern und die Privatsphäre zu schützen, geht noch besser: Wenn Sie eine Mehr-Browser-Strategie fahren – und (was noch viel wichtiger ist) diese konsequent umsetzen! –, können Sie in Sachen Anonymität und Privatheit noch mehr rausholen. Verwenden Sie hierfür beim alltäglichen Surfen, für die Informationsbeschaffung und alles, was ohne Anmeldung bei bestimmten Seiten nutzbar ist, ausschließlich den Tor-Browser.

Für alle Shops, Portale, Netzwerke etc., also überall, wo Sie sich durch personalisierte Log-ins eindeutig identifizierbar machen oder qua Zugangsdaten identifiziert sind, verwenden Sie einen Browser wie zum Beispiel Brave, der „hart“ eingestellt und mit den richtigen Erweiterungen bestückt, Ihre Sicherheit und Privatsphäre sehr gut schützt. Diesen Browser setzen Sie ausschließlich für diese Zwecke ein.

Und für Einzelfälle, wo zum Beispiel das Surfen mit Tor nicht funktioniert, sollten Sie einen dritten Browser zur Hand haben. Diesen verwenden Sie jedoch nur ausnahmsweise und nur dann, wenn es nicht anders geht. Nur die konsequente Umsetzung dieser Regeln sichert, dass das Mehr-Browser-Konzept nicht gefährdet wird. Gute Impulse finden Sie hierzu auch auf dem „Kuketz-Blog“.