Retter oder Täter:

Im Jahr 2022 begann ich, meine digitale Infrastruktur professionell neu aufzubauen. Ziel war es, Prozesse zu modernisieren, Systeme zu vereinheitlichen und Datenschutzstandards zu verbessern. Ich suchte nicht blind nach Anbietern – ich folgte Empfehlungen, die auf Seriosität und Vertrauen basierten. Die Berliner PBJ GmbH wurde mir über Klick-Tipp und Cobra CRM als offizieller Umsetzungspartner empfohlen. Die BroadcastX GmbH präsentierte sich mit einem IHK Passau-Siegel und warb mit dem Anspruch, Sicherheit und Kompetenz zu verbinden. Und die Firma NetAlive wurde mir von einem langjährigen Kunden empfohlen, der versicherte, diese Firma kenne sich mit Hosting, Datenschutz und Serververwaltung bestens aus – er „würde seine Hand ins Feuer legen“, wie er sagte. Was sich anfangs wie ein vertrauenswürdiges Netzwerk aus Experten anhörte, führte in der Praxis zu einem technischen Konstrukt, in dem Vertrauen zur Eintrittskarte für Kontrollverlust wurde.

PBJ, BroadcastX und NetAlive traten alle als Problemlöser auf. Sie sollten Daten sichern, Strukturen vereinfachen, Systeme zusammenführen. Doch schon nach kurzer Zeit entstand ein Netz aus Fernzugriffen, Serververbindungen und Schnittstellen, das sich niemandem mehr eindeutig zuordnen ließ. Zugriffe wurden geteilt, Administratorrechte blieben aktiv, und einzelne Aufgabenbereiche vermischten sich. Während jede Firma für sich arbeitete, entstand ein Gesamtgefüge, das keiner mehr überblickte. Die Grenze zwischen Hilfe und Kontrolle begann zu verschwimmen.

Mit der Zeit zeigten sich technische Auffälligkeiten: Cloud-Dienste liefen über externe Server, Daten wurden über mehrere Anbieter synchronisiert, und Zugriffsrechte blieben bestehen, obwohl Aufträge längst beendet waren. In der Praxis bedeutete das: E-Mails, Kundendaten und interne Dokumente waren nicht mehr ausschließlich lokal gesichert, sondern verteilt auf Systeme, deren Verwaltung außerhalb meiner Kontrolle lag. Versuche, diese Strukturen wieder zu trennen, führten zu Fehlermeldungen, blockierten Konten und technischen Konflikten. Was als Optimierung begann, entwickelte sich zu einer Verkettung, die kaum noch zu lösen war.

Was sich in dieser Zeit zeigte, ist ein strukturelles Problem vieler digitaler Dienstleistungsbeziehungen: Die technische Macht liegt bei den Dienstleistern – die Verantwortung bleibt beim Auftraggeber. Empfehlungen ersetzen Qualitätsprüfung, und Partnersiegel schaffen ein trügerisches Sicherheitsgefühl. Keiner der Beteiligten handelte vorsätzlich falsch, aber alle zusammen erschufen eine Struktur, in der Verantwortung zwischen Verträgen, Tools und Fernwartungen verlorenging. So entsteht ein Zustand, in dem Vertrauen zum zentralen Risiko wird.

Viele kleine und mittlere Unternehmen erleben ähnliche Entwicklungen. Sie beauftragen Dienstleister, die ihnen empfohlen wurden – von Geschäftspartnern, von Softwareherstellern, von Bekannten. Doch kaum jemand überprüft, welche Rechte, Schnittstellen oder Admin-Zugänge am Ende bestehen bleiben. Das Ergebnis ist fast immer dasselbe: Ein System, das funktioniert – aber nur so lange, wie alle Beteiligten mitspielen. Sobald ein Glied ausfällt, zeigt sich, wie abhängig man längst geworden ist.

„Retter oder Täter?“ beschreibt keine Anklage, sondern eine Erfahrung, die verdeutlicht, wie Vertrauen, Empfehlung und Technik ineinandergreifen. Selbst die besten Absichten führen zu Problemen, wenn Kontrolle und Transparenz fehlen. Vertrauen ist kein Sicherheitskonzept – es ist der Ausgangspunkt für Verantwortung.

Am Ende dieses Kapitels steht ein bitteres Fazit: Ich hatte in die Zukunft investiert – sechsstellig, mit dem Ziel, Datenschutz, Effizienz und Sicherheit auf ein neues Niveau zu bringen. Das gesamte Projekt war auf den Schutz der Daten meiner Kunden ausgerichtet. Ich wollte Systeme schaffen, die unangreifbar sind, und eine Infrastruktur, die Kontrolle, Nachvollziehbarkeit und Transparenz vereint. Doch genau dieser Datenschutz wurde zum paradoxen Wendepunkt. Er schützte am Ende nicht die Betroffenen, sondern jene, die Zugriff hatten – Täterschutz durch Datenschutz. Denn in einem System, das auf Vertrauen, Verschlüsselung und Fernwartung basiert, gibt es einen Punkt, an dem der Auftraggeber die Kontrolle verliert. Ab diesem Moment schützt die Technik nicht mehr, sie verbirgt. Was als Sicherheitskonzept begann, wurde zur Abschottung – undurchsichtig, juristisch schwer greifbar, technisch perfekt geschützt. So entstand eine Situation, in der ich selbst keine Arbeiten mehr ausführen konnte. Jede Maßnahme, jeder Versuch, Systeme zu trennen oder zu sichern, führte zu Fehlermeldungen, Zugriffsverweigerungen oder automatischen Sperren. Ich war ausgeschlossen aus meiner eigenen Infrastruktur – ein Zuschauer in einem System, das ich finanziert, aber nicht mehr gesteuert habe.

Die digitale Kriminalistik kennt für solche Fälle einen Begriff: Innentäter. Er beschreibt Menschen oder Firmen, die durch legitimen Zugang zu Systemen und Daten Missbrauch betreiben – nicht durch Einbruch von außen, sondern durch Manipulation von innen. Innentäter agieren im Schatten von Berechtigungen: Sie müssen keine Firewalls überwinden, sie sitzen bereits hinter ihnen. Sie benötigen keine Passwörter zu knacken, sie besitzen sie. Gerade im Umfeld kleiner und mittlerer Unternehmen werden diese Strukturen selten erkannt oder untersucht. Denn der „Täter“ ist formal legitimiert, hat Zugriff durch Verträge, und bewegt sich in einem System, in dem Verantwortung nicht nachweisbar ist.

Über allem stand jedoch etwas, das weit über Dienstleister, Verträge und Empfehlungen hinausging: die digitale Infrastruktur selbst – betrieben, kontrolliert und gesteuert von den großen Konzernen: Microsoft, Vodafone und Apple. Sie bildeten das Fundament, auf dem alles ruhte: die Server, die Cloud-Systeme, die Netzverbindungen und die Endgeräte. Egal, welche Entscheidung auf operativer Ebene getroffen wurde – sie führte am Ende immer zurück zu diesen drei Namen. Microsoft lieferte die Plattformen, auf denen Daten verwaltet und Benutzerrechte verteilt wurden. Vodafone stellte die Netze, in denen Hotspots, IPs und Zugänge aktiv blieben – oft auch dann, wenn sie längst deaktiviert sein sollten. Und Apple kontrollierte die Geräte, deren Sperrmechanismen selbst für Besitzer zur Hürde werden konnten. Damit wurde sichtbar, was viele unterschätzen: Nicht die kleinen Akteure bestimmen die digitale Wirklichkeit, sondern die Infrastruktur, die sie alle miteinander verbindet. Über allem, was sich national regeln lässt, steht eine globale Architektur – und sie folgt nicht deutschem oder europäischem Recht, sondern ihren eigenen Regeln.