wirtschaft : Der Feind im PC

Bei der Wirtschaft hatte Arthur Scherbius einfach kein Glück. Telegramme und Telefonate, so argumentierte der geniale Erfinder in den 1920er Jahren, könnten doch einfach abgefangen und abgehört werden und hohe Schäden verursachen: Der deutschen Industrie bot der Elektrotechniker seine Chiffriermaschinen an, die "Enigma"-Modelle kosteten zwischen 1.000 und 8.000 Mark - zu viel, meinten die Manager damals. Erst als die Generäle der Reichswehr erfuhren, dass ihre miesen Verschlüsselungstechniken im Ersten Weltkrieg keine Herausforderung für die Gegenseite gewesen waren, schwenkten sie um und orderten Scherbius' Maschinen. Manchmal wiederholt sich Geschichte. Auch heute scheut mancher Unternehmer, in die Sicherheit seiner Firmeninformationen zu investieren.

Raffinierte Attacken Cyberkriminalität nimmt zu, die Attacken werden raffinierter. Der Schaden ist immens. Nach einer Studie des Münchener Sicherheitsunternehmens Corporate Trust hatte jedes zweite deutsche Unternehmen in den vergangenen beiden Jahren einen Spionageangriff oder Verdachtsfall zu beklagen. Konkret waren 26,9 Prozent von einem konkreten Vorfall betroffen. Dies stellt einen Anstieg um 5,5 Prozent im Vergleich zu den Ergebnissen aus der Studie 2012 dar. Der jährliche finanzielle Schaden durch Industriespionage: 11,8 Milliarden Euro.

Im Fokus des Datenklaus steht der Mittelstand. "Die Geheimnisse des deutschen Mittelstands sind besonders begehrt. Die hochspezialisierten 'Hidden Champions' verfügen über Know-how, das Cyberspione aus dem Ausland besonders interessiert", sagte Gerhard Schindler, Chef des Bundesnachrichtendienstes (BND), jüngst in Berlin. Eine weitere Studie bringt es auf den Punkt: Nach Angaben der Wirtschaftsberatungsgesellschaft KPMG herrscht ein gravierendes Missverhältnis bei der deutschen Wirtschaft in der Einschätzung von allgemeiner und eigener Betroffenheit - neun von zehn Unternehmen sähen allgemein ein hohes Risiko für deutsche Unternehmen, Opfer von Cyberverbrechen zu werden. Dagegen schätzt weniger als die Hälfte die eigene Gefährdungslage als hoch ein. "Viele Unternehmen verdrängen noch immer entsprechende Risiken", bilanziert KPMG.

Und die meisten Fälle werden nicht gemeldet. Einen ganz klassischen Versuch des Datenklaus berichtet etwa ein baden-württembergischer Mittelständler, ein echter "Hidden Champion", der seinen Namen in diesem Zusammenhang nicht in der Zeitung lesen will: Da gab es einen angeblichen Käufer, der zur "Firmenbesichtigung" vorbeischaute, umringt von zwei spärlich gekleideten Damen; das Ablenkungsmanöver, zwinkert der Geschäftsführer, habe indes nicht funktioniert, das Trio habe man schnell hinaus komplimentiert.

In der virtuellen Welt indes wird das für Spione zu bestellende Feld immer größer. Das Internet wächst beständig, sensible Firmendaten wandern zunehmend ins Netz, immer mehr infrastrukturelles Wissen wird in den sogenannten Datenwolken (Cloud) archiviert. Mittelständler steigen verstärkt in Onlinegeschäfte ein. Das größte Risiko besteht dabei im Verlust von Kundendaten und dem folgenden Imageschaden. Hacker suchen übrigens nicht die möglichst größte Beute, sondern achten darauf, dass sie ihre Tat möglichst einfach ausführen können.

Firmen müssen also umdenken. Ein Notfallplan, so die einhellige Expertenmeinung, sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Dieser listet zum Beispiel die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist. "Alle Unternehmen müssen sich darauf einstellen, dass Cyber-Angriffe durchgeführt werden und auch erfolgreich sind", sagte Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). "Neben der Prävention müssen auch die Säulen der Detektion und Reaktion gestärkt werden, denn dadurch können Folgeschäden erheblich gemindert werden."

Eine Voraussetzung für mehr Sicherheit ist verschlüsselter Datenverkehr oder die Ablage von Daten nur in geschützten Bereichen. Der Umgang mit sensiblen Informationen muss erlernt sein. Hierfür bieten sich Schulungen oder andere Weiterbildungsmaßnahmen an. Eine weitere Idee: der Verzicht auf die Umleitung von E-Mails und Daten über amerikanische Leitungen. Wenn die Daten der Europäer in europäischen Leitungen und auf europäischen Servern bleiben, könnte das Geheimdiensten und Wirtschaftsspionen aus Übersee oder Osteuropa den Zugriff erschweren.

Das beginnt im Kleinen: Handys zum Beispiel sind solch ein Einfallstor gegen Konzernsicherheit. Leicht lassen sie sich zu Wanzen umbauen. Der Benutzer erfährt dies nicht; eine Software, oft als Mailanhang versteckt angekommen, installiert sich von allein. Der Bericht des BSI für das Jahr 2015 sieht hier die Schwachstellen: Computer und Smartphones seien einem "Risiko auf sehr hohem Niveau" ausgesetzt. Besonders großen Handlungsbedarf sehen das BSI und das Bundesinnenministerium bei Sicherheitslücken von Software. Schlecht schneiden in dem BSI-Report für kritische Schwachstellen zum Beispiel die Programme Adobe Flash und Microsoft Internet Explorer sowie die Betriebssysteme OS X von Apple und Windows von Microsoft ab. Bei ihnen wurden bis September 2015 jeweils mehr als 100 kritische Schwachstellen registriert. "Das ist nicht gut", sagte Bundesinnenminister Thomas de Maizière (CDU) bei der Vorstellung des Berichts. "Es ist das Recht eines Kunden und Nutzers eines Softwareproduktes, vom Hersteller erwarten zu können, dass regelmäßig ein Sicherheitsupdate zur Verfügung gestellt wird."

Senioren surfen sicher Was für Firmen gilt, trifft natürlich auch private Verbraucher. Nach Angaben der Software-Firma Symantec für 2015 haben im vergangenen Jahr zwölf Millionen deutsche Internetnutzer Erfahrungen mit Internetkriminalität gemacht. Überraschend sind die Ergebnisse hinsichtlich des Alters der von Cyberkriminalität betroffenen Nutzer. Bei der Generation 55Plus waren dies nur zwölf Prozent, während der Anteil bei jüngeren Nutzern bei 21 Prozent liegt. Eine mögliche Erklärung dafür sieht Symantec darin, dass die ältere Generation in Deutschland mehr auf Sicherheit achte und die Jüngeren ein riskanteres Sicherheitsverhalten im Vergleich zu anderen Altersgruppen zeigten und häufiger online seien. Insgesamt gaben nur 56 Prozent aller Befragten in der Symantec-Studie an, ein sicheres Passwort zu benutzen.

In jeder Krise steckt natürlich auch eine Chance. Wer ausspioniert wird, ist begehrt - und könnte daraus Kapital schlagen. Der Markt für Sicherheitstechnologien wird sich rasant entwickeln; eine Chance für etliche deutsche Betriebe. "Unser technisches Know-how und unser digitales Werteverständnis könnten uns als Standort attraktiver machen und international stärken", haben Wolfgang Ischinger, Leiter der iMünchener Sicherheitskonferenz, und Telekom-Chef Timotheus Höttges schon vor zwei Jahren in einem Gastbeitrag für das "Handelsblatt" geschrieben. "Die hiesige IT-Wirtschaft mit ihren sicheren Liefer- und Produktionsketten sowie ihren hohen Sicherheitsstandards bei der Datenlagerung könnte sich mit eigenen High-End-Sicherheitsprodukten im Wettbewerb mit US-amerikanischen und chinesischen Hard- und Softwareprodukten erfolgreich positionieren."