Die unglaublichen Methoden der Wirtschaftsspionage
eBook Edition
Vorwort
1Spionage: ein unterschätztes Thema
Die Paranoia von gestern ist die Bedrohung von morgen
Digitale Transformation und Spionage
Warum wir so wenig über Industriespionage erfahren
2Vom Wettbewerb zum Wirtschaftskrieg
Wirtschaft ist Krieg
Die große Begriffsverwirrung
An den Grenzen von Recht und Ethik
Es kann jeden treffen
3Von der Old-School-Spionage zu modernen Angriffsmethoden
Frühzeit der Wirtschaftsspionage
Spionage als internationales Business
Böse Mitarbeiter
Unfair Play
Vielfältige Interessen
Ein neues Zeitalter der Wirtschaftsspionage
4Wirtschafts- und Industriespionage im digitalen Zeitalter
Hilflose Opfer
Gefährliche Orte und Geräte
Eingebaute Risiken
Neue Gefahrenpotenziale
Wirtschaftsspionage und Cybercrime
5Auf dem Weg zum »spionagesicheren« Unternehmen
Risiken erkennen
Feinde erkennen
Gefahren erkennen, aber wie?
Know-how schützen
Säulen des Unternehmensschutzes
Die Zukunft der Wirtschafts- und Industriespionage
Anmerkungen
Register
Alle Fälle und Ereignisse, die in diesem Buch geschildert sind, wurden nach bestem Wissen und Gewissen recherchiert. Dennoch können Unrichtigkeiten durch Verzerrung von Tatsachen auf Quellenebene nicht ausgeschlossen werden ebenso wenig wie eine Vollständigkeit bei der Übersicht über die Bedrohungslage garantiert werden kann. Dies liegt in der Natur der Sache dieses besonders sensiblen Themas und der rasanten technischen Entwicklung. Die Empfehlungen in diesem Buch sollen anleiten, sich weitergehend mit der Problematik des Schutzes von Informationen vertraut zu machen. Sie können jedoch keine persönliche Beratung durch IT-Security-Experten ersetzen, sondern diese höchstens vorbereiten.
Mehr über unsere Autoren und Bücher:
www.westendverlag.de
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlags unzulässig. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
ISBN 978-3-86489-555-5
© Westend Verlag GmbH, Frankfurt/Main 2014
Satz: Publikations Atelier, Dreieich
Druck und Bindung: CPI – Clausen & Bosse, Leck
Printed in Germany
»Only the paranoid survive.«
(Andy Grove, ehemaliger Chef von Intel)
Es war ein Mittwochvormittag, daran erinnere ich mich genau, auch wenn mir das genaue Datum nicht mehr präsent ist. Anfang der Neunzigerjahre, ich war Student, die Semesterferien hatten gerade begonnen. Anders als andere Kommilitonen fand ich mich nicht am Strand, sondern in einem großen Maschinenbaubetrieb im Süden Deutschlands wieder. Sechs Wochen Arbeit in der Fabrik halfen mir dabei, mein Studium zu finanzieren. Das Unternehmen und die Arbeit dort kannte ich bereits, nur an das frühe Aufstehen – Arbeitsbeginn war stets um 7 Uhr – konnte ich mich nicht gewöhnen. Immerhin war es mir gelungen, für diesen Sommer einen der begehrten Jobs in der Besucherbetreuung zu ergattern. Das bedeutete zwar den Verzicht auf allerlei mögliche Zuschläge – und damit am Ende weniger Geld –, aber eben auch angenehme Arbeitsbedingungen bis hin zu ausgedehnten Mittagessen im eigentlich nur für die Geschäftsleitung und deren Besucher reservierten Kasino, wie die Vorstandskantine genannt wurde.
Alles, was ich dafür tun musste, war, Besucher abzuholen – stets mindestens zu zweit – und nach einem vorgegebenen Regieplan durch verschiedene Stationen von Konstruktion, Fertigung und Logistik zu begleiten und zwischendurch zum Mittagessen und Kaffeetrinken zu führen. Meist gab es auch für mich das eine oder andere über die Abläufe im Unternehmen zu lernen: An jeder Station in der Fabrik wurde nämlich genau nach Plan in kurzen Vorträgen von den jeweiligen Fachverantwortlichen erläutert, was denn nun das Besondere des gezeigten Vorgangs war. Doch davon ist mir im Wesentlichen nur das lustige Englisch in Erinnerung geblieben – Marke: »Wir können alles außer Englisch!«
An einem Mittwoch geschah es dann. Es sollte mein persönliches Schlüsselerlebnis werden, mich mit dem Thema der wirtschaftlich motivierten Spionage auseinanderzusetzen – ein Thema, das mich mein weiteres Berufsleben lang begleiten würde und nun, beinahe ein Vierteljahrhundert nach dem Vorfall, in dieses Buch mündet.
Zum Mittagessen kamen wir wie immer im Kasino an – doch ein Platz an der festlich gedeckten Tafel blieb unbesetzt. Einer der Gäste fehlte, aber welcher, das war nicht auszumachen. Bei der Gruppe handelte es sich um Asiaten in dunklen Anzügen und weißen Hemden. Zu ähnlich sahen diese für mich und meine Kollegin aus, mit der ich mir diese Aufgabe teilte. So war auch das Abhandenkommen eines Gruppenmitglieds uns bis zu jenem Augenblick nicht aufgefallen. Ein schnelles Nachzählen bestätigte den Verdacht: Die Tafel war korrekt eingedeckt, nur ein Teilnehmer, der am Morgen bei der Ausgabe der Besucherausweise noch anwesend war, blieb verschwunden – ein Fall für den Werksschutz. Erst eine halbe Stunde später wurde er in einer orchestrierten Suchaktion über den gesamten Unternehmenscampus entdeckt: in einem Kopierraum des Hauptgebäudes – weit weg von der mit der Gruppe abgelaufenen Route. Offenbar hatte es ihm besonders ein Ordner mit Konstruktionsplänen aus einem Meisterbüro an einer neu eingerichteten Fertigungslinie angetan. Diesen trug er nämlich bei sich, samt einiger weniger Fotokopien, denn er war gezielt vorgegangen und hatte nur sehr selektiv Material kopiert.
Was danach allerdings geschah, sorgte bei mir für höchstes Erstaunen: Anders als erwartet, gab es kein Donnerwetter. Der abtrünnige Besucher wurde vom Werksschutz zu seiner Gruppe zurückeskortiert, das Mittagessen wurde mit etwas Verspätung gemeinsam eingenommen, und auch das Besuchsprogramm am Nachmittag wurde wie geplant durchgeführt – mit leichten Kürzungen bei den Erklärungen. Der wesentliche Unterschied: Neben meiner Kollegin und mir waren an jenem Nachmittag bis zur Verabschiedung der Besucher noch vier Werksschützer immer in der Nähe der Gruppe, ganz unauffällig – so unauffällig, wie man in schwarzer Uniform und mit Funkgerät am Hosenbund eben sein kann.
Im Grunde aber passierte nichts: Weder rief jemand die Polizei, noch wurde der Vorgang selbst justiziabel gemacht. Im Gegenteil: Man gab sich alle Mühe, nur nichts nach außen dringen zu lassen und gegenüber den Besuchern »das Gesicht zu wahren«. Erst Jahre später begriff ich, warum in eben jenem so offensichtlichen Fall des versuchten Know-how-Diebstahls das Unternehmen nicht nur nichts unternommen hatte, sondern auch noch alles dafür tat, den Vorgang zu vertuschen: Man wollte ein in China geplantes Joint Venture auf keinen Fall gefährden.
Heute, fast 25 Jahre später, hat sich bei dem Maschinenbauer einiges geändert. Das nach einigen Höhen und Tiefen prosperierende Unternehmen ist Teil eines großen deutschen Konzerns, Informationsverarbeitung und Kommunikationstechnik im Unternehmen haben sich dramatisch weiterentwickelt – so viel weiter, dass heute vielfach von einer umfassenden »Digitalisierung« oder »digitalen Transformation« die Rede ist. Es darf vermutet werden, dass auch der versuchte Know-how-Diebstahl, den ich damals miterlebte, heute nicht mehr am Kopierer erfolgen, sondern sich der neuen Möglichkeiten bedienen würde, welche die umfassende Vernetzung unserer Gesellschaft mit Internet und Smartphone bringt.
Geräuschlos und ohne Aufsehen, aber effektiv: So beschreibt man in der Tat am besten die neuen Methoden dessen, was im allgemeinen Sprachgebrauch mit Wirtschaftsspionage bezeichnet wird. Dieses Buch spürt anhand einiger konkreter Beispiele diesen neuen gefährlichen und teilweise kaum zu glaubenden Methoden nach – nicht als Anleitung zum Nachmachen, sondern als Warnung und zum Schutz der betroffenen Unternehmen vor den akuten Spionagegefahren des 21. Jahrhunderts. Gefährdet sind Organisationen aller Größen – vom Einzelunternehmer bis zum multinationalen Konzern.
Rottach-Egern, im August 2014
Thomas R. Köhler
Es liegt in der menschlichen Natur, Risiken unzureichend einzuschätzen. Ganze Gruppen von Gefahren werden systematisch unterschätzt, andere dafür deutlich überschätzt. Ein Musterbeispiel für eine überschätzte Bedrohung ist die Wahrnehmung des Risikos, durch einen Haiangriff zu Schaden zu kommen. Die Bedrohung scheint enorm, Haiangriffe sind aus den Sommerschlagzeilen der großen Publikumszeitungen nicht wegzudenken.
Bei genauer Betrachtung stellt man jedoch fest, dass weltweit jährlich nur 70 bis 100 Attacken von Haien auf Menschen mit 5 bis 15 Todesfällen stattfinden. Diese quasi amtliche Dokumentation derartiger Vorfälle durch das International Shark Attack File (ISAF) der Universität Florida liefert dazu die harten Fakten.1 Ob und wie viele deutsche Staatsbürger durch Haiattacken zu Schaden kommen, ist im Detail nicht bekannt. Man kann jedoch getrost davon ausgehen, dass diese eher unterproportional vertreten sind, da an deutschen Küsten Haie üblicherweise nicht vorkommen.
Würde man nun die Angst vor dem Hai als rational betrachten und demzufolge als Maßstab für die Einschätzung von Lebensrisiken nehmen, so müsste man sich noch viel mehr davor fürchten, bei jeder Mahlzeit an verschlucktem Essen zu sterben: Immerhin 615 Menschen sind alleine in Deutschland 2008 auf diese Weise zu Tode gekommen.2 Von massiven Ängsten breiterer Bevölkerungsgruppen, während der Mahlzeit zu verunglücken, ist jedoch nichts bekannt.
Menschliche Ängste und Befürchtungen sind nur selten rational. Die Gefahr, beim morgendlichen Brötchenholen unter ein Auto zu geraten, dürfte deutlich höher sein, als im Urlaub ein Opfer von Haien zu werden. Ebenso gravierend höher ist das Risiko, im Internet Opfer eines Identitätsdiebstahls zu werden – wobei derartig »unsichtbare« Risiken für Menschen kaum einzuschätzen sind. Beim Hai hat man immerhin spätestens nach dem Kinofilm Der weiße Hai ein plastisches Bild der Gefahr vor Augen.
Generationen von Psychologen haben sich bereits mit der Frage auseinandergesetzt, warum auch und gerade Menschen, die sich sonst sehr nüchtern und statistikfixiert verhalten, bei der Risikoeinschätzung so irrational reagieren. Forscher der Universität Dartmouth und andere Verhaltenswissenschaftler sehen hier unser Unterbewusstsein am Werk und verweisen auf die erwiesene Nützlichkeit unserer intuitiven Risikoeinschätzung in früheren Jahrtausenden, die in der Folge auch zu diffusen Ängsten vor von Menschen gemachten Gefahren führen.3 Nur zu dumm, dass unsere moderne Zeit bis dato zu kurzlebig war, um langfristig geprägte Vorstellungen zu ändern.
Das Problem der unzureichenden Fähigkeit zur Risikoeinschätzung haben wir nicht nur als Privatpersonen, sondern ebenso auch Verantwortliche in Unternehmen. Insbesondere im Bereich der Unternehmenssicherheit ist die Wahrnehmung oft der Vater der Sorgen – und ebenso der Nachlässigkeiten. IT-Security-Spezialisten können ein Lied davon singen. Ganz gleich, ob dafür der ITLeiter zuständig ist, die Abteilung Unternehmenssicherheit oder gar die Geschäftsführung selbst: Nicht zu Unrecht gilt der Job eines Verantwortlichen für Computersicherheit als eine der undankbarsten Aufgaben, die man in einem Unternehmen übernehmen kann – eine Ansicht, die ich über Jahre bei meiner Arbeit für den Aufbau sicherer IT- und TK-Infrastrukturen immer wieder bestätigt gefunden habe. Ein Lob ist nie zu erwarten, denn als Selbstverständlichkeit gilt, wenn alles gut läuft. Wenn etwas schiefgeht, sich also ein sicherheitsrelevanter Vorfall ereignet, wird die Verantwortung beim Sicherheitschef gesucht – der sich vielleicht gleich um einen neuen Arbeitgeber bemühen darf.
Selbst in »Friedenszeiten« ist die Aufgabe nicht trivial, da Mittel für notwendige Investments in Sicherheitsprodukte von der Geschäftsleitung oft als nicht besonders wichtig angesehen werden, schließlich lässt sich hier kein Return on Investment (RoI) berechnen. Dieser RoI ist eine Renditekennzahl, die den wirtschaftlichen Erfolg einer Investitionsmaßnahme beziffert. Auf den ersten Blick scheint das eine gute Idee, bei Investitionen in die Unternehmenssicherheit ist der RoI jedoch fehl am Platz, weil diese Kennzahl im besten Fall eine zukünftige Ersparnis zur Folge hat – wenn alles gut geht. Aufgrund dieses Dilemmas sind nur wenige Unternehmen in Sachen Sicherheit so gut positioniert, wie sie eigentlich sein sollten.
Es bedurfte der Enthüllungen von Edward Snowden über die Aktivitäten von NSA und britischem Geheimdienst sowie der medialen Empörung über das Abhören des Mobiltelefons der deutschen Bundeskanzlerin, um in der Öffentlichkeit Bewusstsein für eines der wichtigsten Themen unserer Zeit zu schaffen: Spionage. Dabei ist jedoch die Tatsache, dass nationale Geheimdienste auch »befreundete« Länder ausspionieren, der falsche Grund für die öffentliche Debatte. Denn wir dürfen getrost annehmen, dass es zur Aufgabe eines jeden Geheimdiensts zählt, die politischen Befindlichkeiten der eigenen Bündnispartner zu kennen. Es gehört aber auch zum Auftrag der Spionageabwehr eines jeden Landes, die Spione der Gegenseite auf Abstand zu halten. Plumpe Vertraulichkeiten zwischen den Diensten – wie sie im Zuge der Enthüllungen ans Tageslicht gekommen sind – verbieten sich eigentlich von selbst.
Das eigentlich Beunruhigende an den von Edward Snowden veröffentlichten Dokumenten ist die Vielzahl von technischen Detailinformationen, die uns die Verwundbarkeit unseres auf Informations- und Telekommunikation basierenden wirtschaftlichen und gesellschaftlichen Austauschs gegenüber unbefugten Zugriffen von Dritten zeigen. Sie öffnen uns, hoffentlich, die Augen für eine unglaubliche Vielfalt von technischen Hilfsmitteln und Verfahren, die das Ausspähen von Individuen und Unternehmen erlauben und von denen wir annehmen dürfen, dass sich deren Anwendung nicht nur auf Geheimdienste beschränkt.
Beschäftigt man sich beruflich mit Sicherheit von Organisationen, so steht man nicht selten unter Verdacht, ein Schwarzmaler und Verschwörungstheoretiker zu sein. Die Snowden-Enthüllungen über die Machenschaften des amerikanischen Geheimdiensts NSA haben dabei vor allen Dingen eines bewirkt: Dinge an die Öffentlichkeit zu bringen, die in Fachkreisen schon lange diskutiert wurden, etwa die Möglichkeit, Hintertüren in Hard- und Software einzubauen. Ob Smartphone, Drohne oder selbstfahrendes »autonomes« Fahrzeug: Jede neue Entwicklung bringt neue Möglichkeiten, aber auch neue Sicherheitsrisiken mit sich. Hinzu kommen täglich neue Lücken, die in bereits eingesetzten Technologien entdeckt werden. Die Frage nach der Sicherheitslage einer Organisation oder eines Unternehmens muss damit täglich neu gestellt werden.
Geht es bei einer Diskussion um technische Sicherheit, ist man inzwischen geneigt, in ein Zeitalter vor und ein Zeitalter nach Snowden zu unterscheiden – so sehr hat sich die Aufmerksamkeit auf dieses wichtige Thema entwickelt. Als Sicherheitsexperte gilt man inzwischen nicht mehr automatisch als der Spinner, als der man bis vor Kurzem häufig abgestempelt wurde, sondern findet plötzlich Gehör – zumindest ab und zu. Betrachtet man die Entwicklung neutral und ohne Emotionen, so muss man festhalten: Die Paranoia von gestern ist die Sicherheitsbedrohung von morgen.
Ob wir wollen oder nicht: Wir stecken alle mitten in einem gewaltigen Wandel, dessen Tragweite nur mit der industriellen Revolution zu vergleichen ist. Die sogenannte digitale Transformation verändert unser Leben und Arbeiten, das ist Konsens in der zweiten Dekade des 21. Jahrhunderts. In nur wenigen Jahrzehnten hat sich in puncto privater und beruflicher Kommunikation fast alles verändert.
Dabei waren die Anfänge ziemlich unspektakulär: Mitte der Neunzigerjahre schwappte die Internetwelle über den Rand der akademischen Welt hinaus und eroberte zunächst technikaffine Teile der Bevölkerung. »Sind Sie schon drin?«, ein Satz aus der Werbung eines Online-Diensts, wurde zum geflügelten Wort. Aber das Internet ist längst keine reine Spielwiese von »Techies« mehr: Eine Visitenkarte ohne E-Mail-Adresse ist inzwischen genauso wenig vorstellbar wie eine Firma ohne Website – das Internet ist zu einem festen Bestandteil unser Lebens- und Arbeitswelt geworden.
Offizielle Zahlen sprechen eine deutliche Sprache. Die ARD/ ZDF-Onlinestudie 2013 sieht nicht nur gut drei Viertel der erwachsenen Bevölkerung als Internetnutzer an, sondern zeigt auch eine intensive Nutzung von fast drei Stunden täglich; bei den 14- bis 29-Jährigen sind es sogar fast vier Stunden, jeden Tag.4 Die Durchdringung mit Mobilfunkanschlüssen liegt sogar schon deutlich über 100 Prozent. Die Statistik der Bundesnetzagentur weist für 2013 bereits rund 115 Millionen SIM-Karten aus: Damit besitzt jeder Einwohner rein statistisch gesehen 1,4 Mobilfunkkarten.5 Knapp zwei Jahrzehnte haben genügt, dass weite Teile der Bevölkerung ihr Kommunikationsverhalten signifikant verändert haben. Dank Internet und Mobilfunk sind wir heute immer online – immer in Kontakt.
Einen wesentlichen Anteil an der steigenden Online-Nutzung in Privat- wie Berufsleben hat in den letzten Jahren das sogenannte Smartphone. Erst im Sommer 1992 wurde der Mobilfunk auf Basis des weitverbreiteten GSM-Standards als sogenanntes D-Netz eingeführt und infolge für jedermann erschwinglich. Seither hat das »Handy«, wie es im deutschsprachigen Raum genannt wird, eine beispiellose Erfolgsgeschichte erlebt. Bereits 2002 gab es laut Internationaler Fernmeldeunion (ITU) weltweit mehr Mobiltelefone als Festnetzleitungen, seit 2006 beobachtet die ITU sogar einen Rückgang bei den Anschlusszahlen im Festnetz.
Eine besondere Rolle spielt dabei die relativ junge Gattung der Smartphones, deren Verbreitung und Nutzung rasant wachsen. Nach Angaben des Marktforschungsinstituts Gartner wurden alleine 2013 rund 968 Millionen Geräte verkauft. Jenseits von Telefonfunktionen haben Smartphone-Nutzer die Möglichkeit, damit E-Mails zu senden und zu empfangen, weitere Internetdienste zu nutzen und ähnlich wie am Computer Applikationen zu installieren. Diese Programme, sogenannte Apps, haben nicht nur einen privaten Hintergrund vom Videospiel über den Fitness-Tracker und die Taschenlampe bis hin zum Navigationssystem, sondern dienen zunehmend Business-Anwendungen, etwa dem Zugriff auf firmenspezifische Software, unternehmensinterne Kalender und andere Firmendatenbestände.
Zur Erfolgsgeschichte wurde das Smartphone mit dem 2007 von Apple eingeführten iPhone. Seine intuitive Bedienung via Touchscreen – und später auch Sprachsteuerung – verhalf dem Konzept des »Mobiltelefons mit Mehrwert« und damit auch der mobilen Internetnutzung zum Durchbruch. In dessen Windschatten startete das von Google initiierte Android-Betriebssystem und wurde zum Welterfolg – dank der Unterstützung durch eine Vielzahl von Herstellern. Ergänzt wurde die Gerätegattung durch Tablets, die ausgehend von Apples iPad ihren Siegeszug zunächst in den Privathaushalten antraten und inzwischen aus dem Geschäftsleben nicht mehr wegzudenken sind.
Der Zugriff auf Unternehmensdaten steht klar im Vordergrund der Nutzenmodelle – auch wenn man etwa im ICE oder in der Flughafenlounge vielfach »Dienst-iPads« zu sehen bekommt, die eher für Online-Spiele oder Videos genutzt werden. In der Praxis vermischen sich bei diesem sehr persönlichen Stück Technik – egal ob Smartphone oder Tablet – geschäftliche und private Nutzung, was im Laufe dieses Buchs noch eine wichtige Rolle spielen wird.
Glaubt man den Versprechen der IT-Anbieter, so wird jedes Unternehmen zum »Mobile Enterprise«, das überwiegend von unterwegs und aus dem Home-Office gesteuert wird. Die allgegenwärtige Vernetzung durch Internet und Mobilfunk ermöglicht die Auflösung der räumlichen Grenzen dessen, was früher ein Unternehmenscampus war. Schon existieren manche Firmen nur als sogenannte virtuelle Organisationen, die de facto aus einem Netzwerk bestehen, dessen Enden von den jeweiligen Aufenthaltsorten der Mitarbeiter bestimmt werden – und dieser kann eben auch ein Kaffeehaus, ein ICE oder eine Flughafen-Lounge sein.
Die schöne neue Arbeitswelt ist aber potenziell auch eine schöne neue Spionagewelt. Warum noch einen Mitarbeiter einschleusen zum heimlichen Kopieren wichtiger Konstruktionsunterlagen, wenn man bequem »von zu Hause aus« per Internet angreifen kann? Denkt man die Möglichkeiten der neuen Kommunikationswelten zu Ende, so sind ganz neue Angriffsmuster vorstellbar – und werden vermutlich bereits erprobt. Denn die wesentliche Lektion der bisherigen Technikgeschichte lautet: Alles, was gemacht werden kann, wird auch gemacht.
Das Kernproblem unserer heutigen Situation ist simpel: Die auf dem Internet aufbauenden standardisierten Verfahren für Kommunikation, die sogenannten Internetprotokolle, sind nicht für eine sichere Kommunikation angelegt. Das geflügelte Wort, dass eine E-Mail gegen unerwünschte Mitleser ähnlich unsicher sei wie eine Postkarte, ist mehr als leeres Gerede. In Wahrheit ist es noch viel schlimmer: Auch dem Absender kann man nicht trauen. Zwar gibt es E-Mail-Verschlüsselungsverfahren, doch ist deren Handhabung so komplex, dass die Akzeptanz in Privat- und Berufsleben gering ist. Man hat sich mit der Situation arrangiert und behilft sich manchmal damit, zumindest die Anlage als verschlüsseltes Dokument zu versenden.
Ähnliches gilt auch für das World Wide Web und dessen Nutzung für Transaktionen: Hier gibt es zwar zusätzliche Sicherheitsmechanismen, von denen sich jedoch erst vor Kurzem eine gängige Implementierung als sicherheitstechnisch extrem problematisch herausgestellt hat. Unter dem Namen »Heartbleed« wurde im April 2014 eine Lücke in OpenSSL bekannt,6 mit der die Verschlüsselung von Internetverbindungen, wie sie etwa beim E-Commerce wichtig ist, in vielen Anwendungsfällen ausgehebelt werden konnte. Das Erschreckende daran: Es war ein Programmierfehler eines einzelnen Entwicklers eines Open-Source-Projekts, der zu dieser gefährlichen Sicherheitslücke geführt hatte. Niemand hatte den Programmtext kontrolliert – eingesetzt wurde die Software jedoch vielfach. Der Fehler blieb letztlich mehr als zwei Jahre unentdeckt. Der Statistikanbieter Netcraft geht davon aus, dass eine halbe Million Websites von diesem Fehler betroffen waren.7
Nicht vergessen werden darf zudem, dass bei der Nutzung des Internets im Regelfall, das heißt ohne zusätzliche technische Maßnahmen, keine Qualitäts- und Verfügbarkeitsgarantien ausgesprochen werden. Der Fachmann spricht hier von »best effort« – und meint damit, dass es eben geht, wenn es geht, und dass man es hinzunehmen hat, wenn es nur langsam und für bestimmte Anwendungen möglicherweise überhaupt nicht funktioniert. Was aber, wenn es ein Wettbewerber darauf anlegt, die Unternehmenskommunikation Ihres Unternehmens so weit »auszubremsen«, dass Sie nicht mehr vernünftig arbeiten können? Das kommt nicht vor, das ist ein theoretisches Problem, meinen Sie? Nun ja, die Realität des 21. Jahrhunderts sieht leider anders aus.
Die Unzulänglichkeiten der Internetinfrastruktur sind so groß, dass Forscher ernsthaft darüber nachdenken, reinen Tisch zu machen und diese neu zu entwickeln – mit »eingebauten« Sicherheitsfunktionen. Aber dieser unter dem Begriff »clean slate« bekannte Ansatz scheint wenig Chancen auf Verwirklichung zu haben, zu stark ist die Kraft der installierten Basis. Auch im Mobilfunk hinken wir in Sachen Sicherheit den technischen Möglichkeiten weit hinterher. Hier liegen die Ausgangsvoraussetzungen aber anders: Der GSM-Standard und die eingesetzte Verschlüsselung sind unsicherer, als sie bei der Einführung hätten sein können. Staatliche Geheimdienste sollen darauf Einfluss genommen haben – ein Sachverhalt, der mir gegenüber von einem ehemaligen hochrangigen Entwickler des GSM-Standards bestätigt wurde.
Hinzu kommen weitere Sicherheitsrisiken. Auch wenn Linux und Mac-OS gelegentlich Verwendung finden, wird unsere PCLandschaft von Microsoft-Betriebssystemen beherrscht. Ähnlich wie in Monokulturen in der Land- und Forstwirtschaft macht dies die Strukturen besonders anfällig für Schädlingsbefall. Folglich haben wir mit dem Aufstieg des Internets auch einen dramatischen Anstieg des Auftretens von Computerschädlingen wie Viren, Würmern und Trojanern erlebt. Schadprogramme für Computer sind dabei keine Erfindung des Netzwerkzeitalters: Früher beschränkte sich der Verbreitungsweg meist auf Disketten.8 Damit waren Ausbreitungsweg und -geschwindigkeit einer Infektion stark limitiert, während heute im Extremfall innerhalb weniger Stunden Tausende von Rechnern mit einem neuen Schädling infiziert sein können.
Weniger Monokultur gibt es bei den Smartphones. Hier dominiert, von der Verbreitung betrachtet, das Android-Betriebssystem von Google, das von einer Vielzahl von Herstellern eingesetzt wird. Das große Problem hierbei ist der beinahe unkontrollierte Wildwuchs an verschiedenen Geräten mit unterschiedlichen Android-Varianten und -Versionsständen. Die Folge: Die meisten am Markt angebotenen Geräte bekommen keine oder nur unzureichende Updates. Sicherheitslücken bleiben so oft lange offen.
Wer sich jetzt die Frage nach dem Sinn von Updates für Handys stellt und darüber nachdenkt, dass es früher auch ohne ging, sollte sich Folgendes vor Augen führen: Heute haben wir es nicht mehr mit Handys im ursprünglichen Sinn zu tun, sondern im Prinzip mit Rechnern, die teilweise die Leistung weniger Jahre alter PCs mitbringen und die permanent mit dem Internet via Mobilfunknetz verbunden sind – ein lohnendes Angriffsziel aus der Perspektive eines Hackers. Kein Wunder, dass in den letzten Jahren die aufgetauchte Schadsoftware für Smartphones, insbesondere für solche mit Android-Betriebssystem, geradezu explodiert ist.
Das wäre nicht weiter schlimm, würde sich der Einsatz dieser Geräte auf das Privatleben beschränken. Tatsächlich finden jedoch viele dieser privaten Geräte den Weg in die Unternehmen, wo sie im Wege von modernen BYOD-Konzepten (»bring your own device«) plötzlich auch im betrieblichen Einsatz stehen – unter Umständen sogar zusätzlich zu den offiziellen Dienst-Smartphones, deren gelegentliche private Verwendung sich ebenfalls kaum verhindern lässt. Unkontrollierte Kommunikation durch BYOD und private Endgeräte erhöht dabei nochmals die Verwundbarkeit des Unternehmens gegenüber gezielten wie ungerichteten Angriffen.
Es gibt sie, die Stimmen, die an dieser Stelle nach der Abschaffung von Smartphone und Netzzugang rufen. Doch das ist im Unternehmensalltag, der im Wesentlichen auf Austauschbeziehungen mit Lieferanten und Kunden beruht, nicht praktikabel. Kurzum: Wir sind im Geschäftsleben durchweg abhängig von der Technik. Wir müssen uns damit arrangieren, ganz gleich wie wir die weitere Entwicklung der damit einhergehenden Risiken einschätzen. Um nicht aus Furcht vor dem vermeintlichen »Killerhai« in Schockstarre zu verfallen, ist es höchste Zeit, sich detailliert mit den Herausforderungen zu beschäftigten, die das Internetzeitalter für die Sicherheit Ihres Unternehmens gegen Informationsabfluss, Sabotage und andere Schädigungen der Wettbewerbs- und Überlebensfähigkeit bereithält.
Nach allen Erfahrungen, die wir bereits mit dem digitalen Wandel gemacht haben, ist leicht nachvollziehbar, dass eine zunehmende Vernetzung neue Sicherheitsrisiken mit sich bringt. Dabei wird oft übersehen, dass auch die Weiterentwicklung altbekannter Technologien dazu führt, dass sich neue Gefahren auftun und alte neu bewertet werden müssen.
Ein Beispiel hierfür liefert ausgerechnet eine Technologie, die bereits Hunderte von Jahren alt ist: das Türschloss mit mechanischem Schlüssel, wie es praktisch überall Standard ist. Einbrecher wie Spione befanden sich schon immer in einem Wettlauf mit Schlossherstellern um Sicherheit und Zugangsschutz. Schon seit Jahren wird in den Medien der unbeschränkte Handel von Einbruchswerkzeugen beklagt mit dem Argument, dass mit deren Verfügbarkeit das Einbruchsrisiko für die Bevölkerung anstiege. Instrumente für das sogenannte »Lockpicking«, wie das Öffnen von Schlössern ohne Schlüssel inzwischen genannt wird, sind auf den großen Internetmarktplätzen frei erhältlich. Doch diese Sets von Dietrichen, wie die Werkzeuge traditionell heißen, helfen Laien kaum weiter: Es bedarf schon einer Anleitung und einiger Übung, um damit mehr als allereinfachste Schließanlagen zu überwinden. Man kann nach Anleitungsbuch und Youtube-Video versuchen, sich die benötigten Fertigkeiten selbst beizubringen, aber man kann sich natürlich dazu auch einem Verein anschließen wie den Sportsfreunden der Sperrtechnik e. V., auf deren Website der Vereinszweck wie folgt umschrieben ist:9
»Pflege der Sperrtechnik als sportliche Herausforderung. Unter dem Begriff Sperrtechnik verstehen wir sämtliche Verfahren und Kenntnisse, welche mittels mechanischer und/oder elektronischer Maßnahmen (Schlösser, Schließsysteme und andere Sicherheitstechnologie) den Zugang beschränken.«
Der Verein distanziert sich dabei ausdrücklich von allen illegalen Aktivitäten. Wer als Laie und Gelegenheitsspion ohne viel Aufwand und Vereinsmeierei weiterkommen will, hat dank marktgängiger Tools und Anleitungen jedenfalls gute Chancen, eine Vielzahl von Schlössern zu überwinden. Das dafür notwendige Wissen ist keinesfalls mehr Herrschaftswissen, sondern durch das Internet jedermann zugänglich.
Aber es geht auch anders, denn der technische Fortschritt macht auch vor der altehrwürdigen Technik des mechanischen Türschlosses nicht halt. Das Start-up Key.me in den USA hilft dabei: Ein Handyfoto des Schlüssels mit der praktischen iPhone-App genügt, und schon lassen sich wenige Augenblicke später die automatisch nachgefertigten Schlüssel aus einer Art »Mister-Minit-Automat« abholen – passgenau und mit Garantie. Zielgruppe des Unternehmens und vergleichbarer Anbieter sind natürlich nicht Einbrecher und Informationsdiebe, sondern Privatleute und Inhaber kleiner Firmen, die bei Key.me für den Fall des Schlüsselverlusts oder Sich-selbst-Aussperrens eine Art elektronische Version ihres Schlüsselbunds hinterlegen wollen.10 Oder anders formuliert: Einbruch und Spionage in fremden Büros und Hotelzimmern? Dafür gibt es nun eine App: Handyfoto vom Schlüsselbund genügt, alles Weitere wird dem Laienspion von Key.me abgenommen. Wem das nicht reicht: Mit geeigneter Kameraoptik lässt sich der Schlüssel unter Umständen auch aus mehreren Metern Entfernung abfotografieren, während er beispielsweise gerade in der Hand gehalten wird – und das in ausreichender Qualität.
Natürlich ist diese Lösung nur ein Beispiel für die zunehmende Allgemeinzugänglichkeit und immer bessere Nutzbarkeit von Wissen und Werkzeugen, die sich zum Ausspähen der Konkurrenz verwenden lassen. Es lohnt sich jedoch bei einer Analyse des Sicherheitsniveaus im Unternehmen hinsichtlich möglicher Einfallstore für Spione, nicht nur die elektronischen Medien im Auge zu behalten, sondern auch auf die klassischen Zugangswege und auf Veränderungen herkömmlicher Technologien zu achten. Denn Sicherheitsrisiken lauern überall.
Das Ponemon-Institut, eine auf Informationssicherheit spezialisierte Beratungsfirma, sorgte 2008 für Schlagzeilen mit den Ergebnissen einer Studie. Diese war der Frage nachgegangen, wie viele Laptops jedes Jahr auf amerikanischen Flughäfen abhandenkommen und wie viele davon wieder auftauchen. Die Zahlen waren erschreckendend:11 Demnach verschwinden – das heißt werden gestohlen oder verloren – pro Woche mehr als 12 000 Laptops an US-Flughäfen. Vergleichszahlen für Europa liegen nicht vor, wir können jedoch davon ausgehen, dass die Größenordnungen ähnlich sind. Besonders problematisch dabei: Nur ein kleiner Teil der Laptops, etwa 35 Prozent, ist gegen den unberechtigten Zugriff auf die darauf befindlichen Unternehmensdaten geschützt, zum Beispiel durch geeignete Verschlüsselungsmechanismen, und nur 48 Prozent der Befragten verfügen über ein Back-up des darauf befindlichen Datenbestands.
Das wiegt besonders schwer vor dem Hintergrund, dass knapp die Hälfte der untersuchten Laptops vertrauliche Geschäftsinformationen oder Kundendaten enthalten und auf immerhin noch 14 Prozent Daten zu finden sind, die man als Geschäftsgeheimnis sehen kann, also Programmcodes, CAD-Zeichnungen oder Ähnliches. Wenn man nun hinzunimmt, dass zwei Drittel der Besitzer ihren verlorenen, vergessenen oder gestohlenen Laptop nie zurückerhalten, wird das Ausmaß dieses Problems deutlich.
Nach einer von Intel 2010 in Auftrag gegebenen Untersuchung12 kommen auf Unternehmen nach dem Verlust eines Laptops Kosten von durchschnittlich fast 50 000 US-Dollar zu – für jedes einzelne Gerät. Und davon entfallen nur etwa 3 Prozent auf den Ersatz von Hard- und Software. Welche Zahlen hier in Europa anzusetzen sind, bleibt offen. Mir sind jedoch mehrere deutsche Unternehmen bekannt, bei denen circa 10 Prozent des Laptop-Bestands pro Jahr verloren gehen oder gestohlen werden. Bleibt die Frage, warum Unternehmen so selten Sicherheitsmaßnahmen ergreifen, um die Folgen eines – statistisch gesehen nicht unwahrscheinlichen – Diebstahls ein wenig in Grenzen zu halten.
Welche Ziele ein Dieb konkret verfolgt, lässt sich im Einzelfall kaum nachvollziehen. Wir können jedoch davon ausgehen, dass Laptop-Diebstähle auf Flughäfen und Bahnhöfen, in Konferenzzentren und anderen von Geschäftsreisenden frequentierten Orten häufig auch gezielt vorgenommen werden, weil man sich vielversprechende Datenbestände erhofft.
Ich habe noch kein Gerät verloren, bin aber selbst mehrfach Ziel von Diebstahlattacken geworden: Einmal versuchte ein Mitreisender, an der Sicherheitskontrolle des Münchener Flughafens mein (passwortgesichertes) Smartphone aus dem Behälter vom Band »zu fischen«, und ein anderes Mal war mein (mit Festplattenverschlüsselung versehener) Laptop im Konferenzraum eines Hotels am Frankfurter Flughafen bereits am »Wegwandern«. Meine Aufmerksamkeit bewahrte mich in beiden Fällen erfreulicherweise vor echtem Schaden. Besonders bemerkenswert ist, dass beide Vorfälle unter den Augen von Sicherheitsleuten stattfanden, die angeblich nichts gesehen hatten. Die Täter versuchten übrigens, sich mit einem »Versehen« aus der Affäre zu ziehen.
Eine ähnliche Entwicklung hinsichtlich der Verlustrate haben Smartphones zu verzeichnen: Bereits im Jahr 2005 sollen angeblich rund 63 000 Mobiltelefone und fast 5 000 Laptops in Londoner Taxis liegen geblieben sein.13 Solche Zahlen mag man getrost bezweifeln, dennoch bleibt der Verlust von Endgeräten, auf denen Firmendaten gespeichert sind – ganz gleich, ob es nun Smartphones oder Laptops oder Tablets sind –, ein hohes Risiko.
Mehr als 20 Prozent aller Unternehmen hatten in den letzten drei Jahren einen konkreten Spionagefall zu beklagen, so haben es die Experten der Beratungsfirma Corporate Trust bereits 2012 ermittelt.14 Dennoch sind Medienberichte über derartige Vorgänge sehr dünn gesät. Die Öffentlichkeit erfährt zumeist erst dann etwas, wenn tatsächlich ein Täter vor Gericht steht oder sogar verurteilt wird – was selten genug vorkommt.
Es gibt aus Unternehmenssicht gute Gründe, warum Berichte über Wirtschaftsspionage nur selten an die Öffentlichkeit gelangen. Einzuräumen, dass man Opfer von Wirtschaftsspionage geworden ist, lässt ein Unternehmen verwundbar erscheinen. Ein Ruf als einfaches Ziel wird dabei unter Umständen auch von anderen »Interessenten« als Einladung gewertet, die Firma zu attackieren. Auch der Reputation bei Geschäftspartnern und Kunden ist derartige PR nicht zuträglich. Und bei Unternehmen, die sich am Kapitalmarkt finanzieren, kann ein solcher Vorfall den Börsenkurs beeinträchtigen – was Topmanager, deren Bonus oft an eben jener Kursentwicklung hängt, nicht riskieren wollen. Die Folge: Selbst – oder gerade – wenn eigene Mitarbeiter verwickelt sind, trennt man sich häufig lieber »geräuschlos«, als ein Gerichtsverfahren anzustrengen, was unangenehme Öffentlichkeit bedeuten würde. Ich bin aufgrund meines beruflichen Engagements zu der Überzeugung gelangt, dass Sicherheitsvorfälle, die auf Spionage hindeuten, vielfach bereits in der IT-Abteilung oder von den Sicherheitsverantwortlichen unter den Tisch gekehrt werden – schließlich hängen auch sie an ihren Jobs.
Ein völlig anderes Bild als von Corporate Trust ergibt sich auch von offizieller Seite: Laut polizeilicher Kriminalstatistik sind es »nur« 5 500 bis 7 000 Fälle, die jedes Jahr zur Anzeige gebracht werden, wo sie dann unter »Wettbewerbsdelikte« und »Ausspähen von Daten« auftauchen.15 Die Dunkelziffer dürfte enorm sein: Seriöse Schätzungen gehen von mehreren Milliarden Euro Schaden pro Jahr alleine für deutsche Unternehmen aus. Die Sicherheitsexperten von Corporate Trust gehen in ihrer zusammen mit Aon Risk Solutions, Securiton und der Zurich-Gruppe erstellten Studie Industriespionage 2014. Cybergeddon der deutschen Wirtschaft durch NSA & Co.? von einem jährlichen Schaden durch Industriespionage für deutsche Unternehmen von 11,8 Milliarden Euro aus.16 Andere Schätzungen liegen noch deutlich darüber: Der Bundesverband der Deutschen Industrie (BDI) rechnet mit etwa 50 Milliarden Euro und der Verein Deutscher Ingenieure (VDI) sogar mit mindestens 100 Milliarden Euro.17 Für Österreich kommt Corporate Trust übrigens auf einen jährlichen Schaden von 1,6 Milliarden Euro, aber auch hier existieren abweichende Schätzungen.
Der Präsident des nordrhein-westfälischen Landesamts für Verfassungsschutz (LfV), Burkhard Freier, sagte in einem Interview mit dem Focus-Magazin, dass allein im bevölkerungsreichsten Bundesland »370 000 Unternehmen bereits attackiert« worden seien.18 In erster Linie seien Rüstung, Satellitentechnik und Umwelttechnik das Ziel der Angriffe. Die Herkunft der Attacken gibt Freier zu über 50 Prozent mit China und Russland an: »In China oder Russland übernehmen die Nachrichtendienste den Hauptanteil der Wirtschaftsspionage. […] Das politische Ziel ist das Stehlen von Knowhow, nicht mehr von Produkten. Hauptsächlich werden Forschungs- und Entwicklungsergebnisse, Lieferanten- und Kundendaten sowie Unternehmensstrategien abgeschöpft.«
Die Gefahr ist also äußerst real, betroffene Firmen gibt es in hoher Zahl. Dennoch waren nur wenige Unternehmen im Zuge der Recherchen bereit, sich für dieses Buch zu öffnen. Selbst unter Zusicherung einer anonymen Darstellung sicherheitsrelevanter Vorfälle wollten zahlreiche Verantwortliche keine Angaben machen, ob und in welcher Form sie Opfer derartiger Machenschaften geworden sind. Selbst in Fällen, die infolge mehr oder weniger ausführlicher Medienberichterstattung nicht zu leugnen sind, bleiben Auskünfte oft spärlich. Dennoch ist es im Rahmen der Recherchen gelungen, eine Vielzahl von Fällen zusammenzutragen und deren Hintergründe zu analysieren.
Letztlich wird nur eine vom Gesetzgeber definierte öffentliche Berichtspflicht diese Mauer des Schweigens durchbrechen können. Eine solche ist mit dem angekündigten IT-Sicherheitsgesetz vorgesehen, das im Rahmen der »Digitalen Agenda 2014 – 2017«, welche im August 2014 vorgestellt wurde, auf den Weg gebracht werden soll. Freilich unterliegt laut Gesetzentwurf diese Meldepflicht Einschränkungen hinsichtlich der betroffenen Firmen, die allesamt als Anbieter sogenannter »kritischer Infrastrukturen« eingestuft sein müssen. Außerdem soll in den meisten Fällen eine anonyme Meldung ausreichen. Kritiker dieses Gesetzentwurfs sehen daher Lobbyisten am Werk und befürchten eine Verwässerung des Ansatzes. In der Tat hatte zuvor der Branchenverband Bitkom eigens eine Studie anfertigen lassen, die zu dem Schluss kam, dass bei erwarteten 2,3 Millionen Meldungen pro Jahr bei den Unternehmen Kosten von rund 1,1 Milliarden Euro entstehen könnten.19