Sensible IT-Prozesse außer Haus: NYT lagert E-Mail an Google aus

Die New York Times hat im Juni 2018 ihr komplettes E-Mail-System ausgelagert. Ausgerechnet Google vertraut das renommierte und weltbekannte Medienhaus seine oft sensiblen Daten an. Damit reagiert die New York Times auf massiv zunehmende Hacking-Aktivitäten auf ihre Server – und erhofft sich durch Google eine deutlich höhere IT-Sicherheit. Tatsächlich könnten die Experten von Google den Zugriff auf die sensiblen Daten der Times besser schützen als der Verlag selbst. Die Aufgabe zählt nicht zur Kernkompetenzen eines Medienhauses.

Daten und Fakten

Ein solcher Schritt scheint – zumindest im englischsprachigen Europa – seit Jahren nichts Besonderes zu sein. Die meisten Medienhäuser in Großbritannien haben bereits zu Google oder vergleichbaren Anbietern gewechselt. Allerdings: Die Journalisten verlassen sich bei eigenen kritischen Recherchen nicht ausschließlich auf ihren Provider. Untereinander nutzen sie sichere E-Mail-Alternativen. Kontakte zu Whistleblowern und anderen anonymen Quellen halten sie über andere etablierte Kanäle wie beispielsweise SecureDrop oder .onion

SecureDrop wurde 2013 von der FreedomofPress Foundation ins Leben gerufen. Seitdem erfreut sich das OpenSource „whistleblower submission system” großer Beliebtheit. Medienhäuser auf der ganzen Welt arbeiten damit.

Quelle: Webseite https://securedrop.org/

Alternativ etablierten Verlagen auch eigene Lösungen wie z.B. „heise Investigativ“.

Quelle: Webseite https://www.heise.de/investigativ/

Die Dienstleistungen, die die New York Times von Google nutzt, gehören zur G Suite. Das ist ein Paket mit verschiedenen Angeboten: Unternehmen wickeln damit ihren E-Mail-Verkehr ab, nutzen weitere Kommunikationslösungen oder können Daten in der Cloud speichern. Die Dienste sind also nicht gleichzusetzen mit dem kostenlosen Gmail-Service von Google.

Laut GoogleWatchBlog haben im Laufe der Jahre hunderttausende – vor allem kleinere Unternehmen – zu Googles G Suite-Angebot gewechselt. Damit haben sie ihre IT-Infrastruktur auf die Server des Unternehmens ausgelagert. Bis heute ist kein einziger erfolgreicher Hacker-Angriff auf Gmail- bzw. Google-Server bekannt.

Weltweite Diskussion auf Twitter

IT-Sicherheitsexperten diskutieren rege über die Entscheidung der New York Times und über mögliche Vor- und Nachteile.

Angeblich war der endgültige Auslöser für den Schritt das erfolgreiche Eindringen der chinesischen Regierung in das E-Mail-System der Times. Nach langer Diskussion mit der Rechtsabteilung und aufgrund von Kostenerwägungen sei die Entscheidung für Google gefallen (@mattyrosen).

Es sei unmöglich, ein auch nur halb so gutes 24/7 Sicherheitsteam wie bei Google bereit zu halten. Auf der anderen Seite hätte Google in der Vergangenheit immer wieder nicht den Anordnungen von US Regierungsorganisationen wie beispielsweise der NSA standhalten können (@bartongellman).

Andere führen auf, dass Google mittlerweile verstanden hätte, wie wichtig es sei, Journalismus von außen zu schützen und auch ungerechtfertigte Regierungsanfragen abzuwehren. Für die Times sei die Gefahr gehackt zu werden größer als Daten an die US Regierung geben zu müssen (@kevinchen).

Was offen bleibt: Hat Google unter geltendem US-Recht wirklich die gleichen Möglichkeiten wie ein Zeitungsverlag, Durchsuchungsbeschlüssen von Regierungsorganen zu widerstehen? Sollten die Journalisten einmal investigativ gegen Google selbst recherchieren: der Dienstleister bleibt in der Versuchung, einen Blick auf seine Server zu werfen.

Allerdings: Microsoft hat mit Office 365 sowohl in den USA als auch in Europa einen deutlich höheren Marktanteil bei der E-Mail-Auslagerung für Unternehmen als Google.

Diskussionen in Deutschland

Wie so oft sind die Kommentare im deutschsprachigen Raum dazu etwas anders gelagert. Hier stehen Themen wie Datenschutz/DSGVO, „Google = Datenkrake“, mögliche Alternativen etc. vorne an. Zudem wird beispielsweise bezweifelt, dass die Notebooks und Desktops der Redakteure jemals so sicher gegen Angriffe von außen gemacht werden können wie das eigene E-Mail-System.

Alle US-Unternehmen unterliegen dem Cloud Act und sind damit nicht DSGVO-konform. Einzig die Cloud von Microsoft für deutsche Office 365-Kunden liegt bei der Deutschen Telekom auf nationalen Servern. Weitere Beispiele für sichere dedizierte Mailserver in Deutschland bzw. in der Schweiz: Posteo.de, mailbox.org und ProtonMail. Ihre Größe ist allerdings nicht mit der von Google oder Microsoft vergleichbar.

Quelle: Webseite https://mailbox.org/

Quelle: Webseite https://posteo.de/

Quelle: Webseite https://protonmail.com/

Google wird hierzulande nachgesagt, alle E-Mails mit den neusten KI Routinen zu scannen – also auch die geschäftlicher Accounts. Wenn es um vertrauliche Mail-Inhalte geht, schützt dagegen eine up-to-date E-Mail-Verschlüsselung. Die Metadaten der E-Mails – also wer, wem, wann schreibt – kann jeder Betreiber der Mailserver weiterhin abgreifen. Damit bleiben E-Mails auch künftig ungeeignet für Whistleblower und anonyme Informanten.

Laut Erfahrungsberichten funktioniert die Google G Suite gut. Einzig ein zu häufiges Blacklisten der eigenen E-Mail-Accounts scheint noch ein Thema zu sein. Hier wendet Google offenbar die gleichen Algorithmen wie bei Gmail an: das Consumer Produkt muss mit viel mehr Spam zurechtkommen und markiert dadurch lieber zu viel als zu wenig Spam.

Fazit

Dedizierte kommerzielle Mailprovider verfügen über ein wesentlich höheres IT-Sicherheits-Know-how als es die IT-Abteilungen von Medienhäusern je wirtschaftlich darstellen können. Deshalb sind abseits der Kernkompetenz – also nicht nur bei E-Mail, sondern auch anderen kritischen IT-Prozessen – professionelle Partner immer vorzuziehen. Ob für Medienhäuser dafür US-Giganten wie Google oder Microsoft in Frage kommen, muss jedes Unternehmen selbst entscheiden. Ein etwas lockererer Umgang mit Datenschutz ist bei diesen Firmen zumindest in ihrer Heimat offensichtlich. Jedoch: Es gibt Alternativen in Europa und Deutschland, bei denen sowohl die Größe als auch die DNA deutlich näher an der von deutschen Verlagen liegen.

Abseits der Letzten Meile: Logistik-Geschäftsmodelle

Das Mindestlohngesetz wirkte als entscheidender Katalysator. Die Verlagslogistik befindet sich im Umbruch. Besonders auf der „Letzten Meile“ verändert sich viel. Das ist die Strecke, die der Zusteller von der Abladestelle bis zur Zustellung des letzten Objekts in seinem Bezirk zurücklegt (s. SCHICKLER KOMPAKT).

Doch auch abseits der Letzten Meile tut sich derzeit eine Menge. Verlage entdecken die Logistik, um die Beziehungen zu ihren Bestandskunden auszubauen und gleichsam neue Kunden zu generieren. In einem kurzen Überblick zeigen wir hier verschiedene Ansätze, die wir derzeit auch in unseren Projekten diskutieren. Im Fokus stehen dabei die Themen Mobilität, Fulfillment und Planungsdienstleistungen.

Mobilität

In Sachen Mobilität sind die Verlage in Sachsen ganz vorne am Start. Bereits seit fünf Jahren ist die DD+V Mediengruppe Mehrheitseigner an 8mal8. Der Chauffeur-Service aus Dresden kutschiert Privat- und Geschäftskunden mit hochwertigen Fahrzeugen zu ihrem Ziel. Die Kunden müssen jede Fahrt vorab bestellen – so sieht es das Personenbeförderungsgesetz vor. Das unterscheidet den Chauffeur-Dienst vom klassischen Taxi. Ordern können die Kunden den Dienst unter anderem per App. Wie auch bei den folgenden Angeboten.

Eine weitere Lösung hat die DD+V-Mediengruppe für Zweiradfahrer parat. Die Sächsische Zeitung betreibt das Fahrradleihsystem sz-bike. Das Besondere daran: Das Konzept ist im Stadtkern nahezu uneingeschränkt free floating. Das bedeutet, Kunden können die Räder an jeder öffentlich einsehbaren Straßenkreuzung ausleihen und wieder abstellen. Lediglich wenn sie die Räder außerhalb des Kerngebiets nutzen möchten, sind sie an die Abgabestationen gebunden. Betreiber des Services ist nextbike aus Leipzig.

Ebenfalls Leipzig: Hier wagt die Verlagsgruppe Madsack als erste ihrer Art den Schritt ins Ride-Sharing. Das ist so etwas wie die Mitfahrzentrale 2.0. Ein System bündelt Fahrgäste mit ähnlichen Routen. Sie teilen nicht nur das Fahrzeug, sondern auch die Kosten. Das schont die Umwelt gleich doppelt, denn der Fahrdienst CleverShuttle ist ausschließlich mit Elektrofahrzeugen unterwegs. Im Spätsommer 2017 hat Madsack die Mehrheit an CleverShuttle übernommen. Das StartUp aus Berlin finanzieren u.a. die Deutsche Bahn und Daimler.

Fulfillment

Der E-Commerce-Umsatz mit Waren entwickelt sich in Deutschland rasant. Die Wachstumsraten liegen klar im zweistelligen Bereich. Händler, die davon profitieren wollen, benötigen Lösungen, um die Warenströme des Online-Handels abzuwickeln. Die Nordkurier Mediengruppe aus Neubrandenburg (mit EUROTAPE) und die Augsburger Mediengruppe Pressedruck (mit MIMO) haben sich in diesem Feld bereits positioniert. Warehousing, Zusammenstellung und Verpackung von Waren, Versand und Retourenmanagement sind die Kernleistungen beider Unternehmen. Lettershop-, Pre- und After-Sales-Dienstleistungen runden das Angebot ab.

Gemeinsam mit Online-Shop-Lösungen für den Einzelhandel ist das Fulfillment ein wichtiges Puzzleteil, das die Bindung zu den bedeutenden regionalen Werbekunden stärkt.

Planungsdienstleistungen

Die Veränderungen im Bereich Letzte Meile betreffen natürlich auch die Planer. Wegen der Mehrkosten durch den Mindestlohn müssen die Verlage ihre Strukturen im Bereich Logistik bis ins letzte Detail optimieren. Und zwar immer wieder neu, weil sich die Mengengerüste der Zustellung verändern. Genauer gesagt: Die Wege und Wegzeiten aller Boten, Fahrer und Fahrzeuge müssen möglichst kostenoptimal sein. Das funktioniert nur mit spezieller Software. Die besten Ergebnisse in der Optimierung erzielen diejenigen, die bereits ein herausragendes Knowhow entwickeln konnten – nämlich die „großen“ Verlage und Verlagsgruppen. Sie erbringen sogar schon erste Planungsdienstleistungen für Fremdverlage – auch wenn sie diesen Service noch nicht offensiv vermarkten.

Wie das funktioniert? Sie übergeben die Zustelladressen, ein Planungssystem importiert sie und bereitet sie – wo nötig – nach. Genauer gesagt: Die Adressen werden geocodiert, damit das System sie lesen kann. Dann erfolgt die softwaregestützte Optimierung der Bezirke. Hier ist mehr als ein „Knopfdruck“ erforderlich: Um optimale Bezirksstrukturen für Zeiten und Wege zu erstellen, bedarf es oft mehrerer Iterationen zwischen System und Planer. Das Ergebnis der Optimierung geht dann wieder an den Auftraggeber, der es in sein Vertriebssystem importieren kann.

Ausschlaggebend für einen erfolgreichen Prozess sind das Knowhow der Planer und der Zugriff auf ein leistungsfähiges System. Die Erfahrung zeigt: Verlage, die sich die Investitionen in beides sparen möchten, sind meist besser beraten, für die Bezirksoptimierung Experten zu beauftragen als die Bezirke mit einfachen Bordmitteln „nebenbei“ zu optimieren.

Zustellung nach dem Mindestlohn: „Letzte Meile“ im Fokus

Der Mindestlohn hat die Zeitungslogistik in ein neues Zeitalter befördert: Der Einsatz von Geo-Informations-Systemen, die Zustellbezirke optimal zuschneiden, ist eine Selbstverständlichkeit. Zeitlohn hat zumeist den Stücklohn ersetzt – die neuen Lohnmodelle wurden in neuen Arbeitsverträgen dokumentiert und für die Lohnabrechnung programmiert.

Also Zeit zum Durchatmen? Leider nein. Das strategische Dilemma, in dem sich Verlage befinden, bleibt unverändert: der Auflagenrückgang der Tageszeitung führt unweigerlich zu höheren Stückkosten – sofern man nicht entgegensteuert.

Über die Möglichkeiten, wie Verlage die Kosten auf der Letzten Meile optimieren und um Neugeschäft ergänzen können, berichten wir in unserem aktuellen SCHICKLER KOMPAKT. Wenn Sie Interesse daran haben, kontaktieren Sie uns gerne unter presse@schickler.de.