Wie Unternehmen ausspioniert werden
Kriminalität Nicht nur Staaten haben mit Spionen zu kämpfen. Auch die Wirtschaft ist immer öfter Opfer solcher Angriffe. Die Täter haben es auf sensible Daten, Technologie und Geheimnisse abgesehen. Was Firmen tun können
Essen Verfassungsschutzchef Thomas Haldenwang schlägt Alarm: „Das Niveau der Spionage gegen Deutschland ist auf dem Niveau des Kalten Krieges, wenn nicht höher“, sagte der Leiter des Inlandsgeheimdienstes jüngst auf einer Veranstaltung der Lobbygruppe Allianz für Sicherheit in der Wirtschaft (ASW). Durch die zunehmende Vernetzung und Digitalisierung steige auch das Spionagepotenzial. Ziel der Angriffe sind aber nicht primär Polizei und Bundeswehr, sondern immer öfter die Wirtschaft. So entstehen laut Bitcom etwa 100 Milliarden Euro Schaden pro Jahr. Auch kleinere Unternehmen seien betroffen und würden häufig nicht einmal merken, dass jemand ihre Geheimnisse klaut.
Der Vorstandschef der ASW, Volker Wagner, betonte, es sei davon auszugehen, dass die deutsche Wirtschaft flächendeckend angegriffen werde. Insbesondere technologieund forschungsintensive Bereiche seien Ziele. Dabei gilt es nicht nur sich gegen Konkurrenten zu verteidigen: „Wir wissen, dass viele Staaten ihre Geheimdienste gezielt einsetzen, um Wachstumsziele in bestimmten Branchen zu erreichen“, so Haldenwang. Im Klartext: Geheimnisse bei ausländischen Firmen zu klauen und sie den eigenen zuzuspielen. Häufig würden auch Unternehmen, Stiftungen, Thinktanks oder sogar die eigenen Mitarbeiter für die Operationen vereinnahmt. Wie Michael Kilchling, der beim Max-Planck-Institut zum Thema forscht, betont, geht es nicht nur um die klassischen Verdächtigen wie Russland und China. „Auch unsere Freunde spionieren“, sagt der Experte. Innerhalb der EU und auch aus den USA seien Angriffe an der Tagesordnung. In Frankreich gibt es sogar eine „Schule für Wirtschaftskrieg“, in der entsprechende Methoden gelehrt werden. Auch das amerikanische Spionageprogramm PRISM, welches 2013 aufflog, hat dem Chaos-Computer-Club zufolge wohl hauptsächlich der Wirtschaftsspionage gedient.
In Deutschland fristet das Thema hingegen ein Schattendasein. Exemplarisch sieht man das beim jüngsten Sicherheitsdebakel um das Microsoft-Programm Exchange, mit dem man E-Mail-Server betreibt. Vor etwa drei Wochen gab Microsoft bekannt, dass es dort vier eklatante Sicherheitslücken gibt, die benutzt werden können, um sich Zugang zu privater Kommunikation zu verschaffen, Geräte aus dem Netzwerk fernzusteuern oder Daten zu verschlüsseln und das Opfer mit dem Zugriff zu erpressen. Der Angriff selbst erfolgt meist Monate, nach
sich unbemerkt Zugang zum System verschafft wurde. Die bekannten Opfer reichen von Handwerksbetrieben über Gas- und Stromanbieter bis hin zu zwei Bundesbehörden. Allein in Bayern weiß die Landesdatenschutzbehörde von etwa 750 Datenschutzverstößen im Zusammenhang mit der Sicherheitslücke. Microsoft brachte innerhalb weniger Tage ein Sicherheitsupdate für die betroffenen Versionen von 2019, 2016, 2013 und sogar 2010 heraus, doch viele Firmen haben es noch nicht installiert. Das Update verhindert zwar weitere Eindringlinge, aber macht bereits geschaffene Zugänge nicht unschädlich. Diese müssen manuell beseitigt werden. Eine Analyse der finnischen Firma F-Secure ergab, dass nicht einmal die Hälfte der Server das Update installiert haben. Insbesondere in Deutschland kommen die IT-Abteilungen nicht hinterher. In der Folge ist die Bundesrepublik gerade dabei, Italien als das meist angegriffene Land zu überholen. ASW-Chef Wagner rät zumindest die Patches unverzüglich aufzuspielen. Es sei „erschreckend“, wie lange eine so simple Aufgabe dauere.
Dominik Merli leitet das InnosInstitut für innovative Sicherheit an der Hochschule Augsburg. Dieses kooperiert mit Unternehmen, um Sicherheitstechnik zu verbessern.
„Alles, was angegriffen werden kann, wird auch angegriffen“, warnt Merli. Er glaubt, dass viele Unternehmen das Problem nicht ernst nehmen: „IT-Abteilungen sind oft schlecht ausgestattet und in der Folge überlastet“, findet er. Für die Sicherheit am wichtigsten sei es überhaupt zu wissen, welche Systeme man benutzt und alles auf dem neuesten Stand zu halten. Auch ein Cloudanbieter sei nicht unbedingt weniger sicher: „Aber wenn ich als Unternehmen entscheide, das Ganze in eigener Hand zu behalten, bin ich auch verantwortlich“, warnt Merli.
Bei aller Bedeutung eines wasserdichten Computersystems laufen die meisten Angriffe laut dem Professor jedoch über den Faktor Mensch. Zwei der häufigsten und erfolgreichsten Methoden seien Phishing und CEO-Fraud. Bei Ersterem werden über eine gefälschte Website Login-Daten gestohlen. Hier kann mittlerweile auch ein falscher Absender vorgetäuscht werden. Bei Zweiterem gibt der Angreifer sich als Geschäftsführer oder eine andere hochrangige Person aus, um sich sensible Informationen zu beschaffen. Daher müsse man auch die Mitdem arbeiter zum Beispiel mit Schulungen für das Thema sensibilisieren. Das könnte in der Zukunft deutlich bedeutender werden. „Die zunehmende Vernetzung in der Produktion könnte zum Risiko werden“, glaubt Merli. Dort mangle es noch an Verteidigungsmechanismen.
Lars Lippert ist Managing Director bei der Augsburger Cybersecurity-Firma Baramundi. Auch er warnt vor den Risiken in der sogenannten „Industrie 4.0“. Man könne sich dort noch sensiblere Informationen beschaffen als auf einem E-Mail-Server. Zudem seien die Systeme schwerer zu aktualisieren, weil das meist einen Neustart, also eine Fertigungsunterbrechung erfordert. Auch für Unternehmen, die ohne Internet fertigen, hat er Ratschläge. Er rät dazu, gleich mehrere Sicherheitssysteme zu nutzen, falls eines versagt. Updates solle man möglichst schnell installieren, auch wenn das kompliziert ist, weil andere Systeme beeinflusst werden. Insgesamt müsse man vor allem auf Prävention setzen: „Wenn ein Angriff bemerkt wird, ist es schon zu spät“, sagt Lippert.
Entsprechend ausgebildete und sensibilisierte Angestellte seien dabei genauso wichtig wie die technische Ausstattung. „Gutes Werkzeug reicht nicht, man muss es auch benutzen können“, sagt Lippert.
Alles, was man angreifen kann, wird angegriffen