Unternehmen werden ausspioniert, sabotiert und erpresst. Staaten wie China und Russland sind dabei zunehmend enthemmt. Schutz davor braucht Vertrauen und Koordination.

Er werde den Mann, der Tür und Tor für Wirtschaftsspionage geöffnet hat, Herrn Weber nennen, sagt Maik Pawlowsky. Weber ist ein norddeutscher Rüstungsmanager, Pawlowsky beim Bundesamt für Verfassungsschutz zuständig für Cyber- und Spionageabwehr. Weber sei im Job unzufrieden gewesen und habe Jobportale durchforstet. „Da hat sich der Recruiter eines Kfz-Herstellers gemeldet“, erzählt der Verfassungsschützer in Räumen der Bundeswehr-Universität im Münchner Vorort Neubiberg. Der habe ihm eine Datei mit Infos zum verlockenden Jobangebot geschickt, die sich aber nicht öffnen ließ. Auf dem Privatrechner des Managers fehle wohl ein Update, meinte der Recruiter. Sein Rechner in der Firma sei aber sicher auf dem neuesten Stand. Weber öffnet die Datei dort.

 

Der Verfassungsschützer beschreibt einen typischen Fall von Spionage per Social Engineering kombiniert mit Technik. „Es war kein Recruiter, sondern ein Hacker“, erklärt Pawlowsky. Und in der Datei sei ein Trojaner versteckt gewesen, der in der Rüstungsfirma ein Einfallstor zum Abzapfen von Know-how und Geheimnissen geöffnet habe. Es sei nicht nur Spionagetechnik, sondern auch der Faktor Mensch, der regelmäßig dafür sorge, meint Günther Schotten. „Deshalb ist eine human Firewall so wichtig“, betont der Geschäftsführer der Allianz für Sicherheit in der Wirtschaft (ASW). Firmenmitarbeiter sind damit gemeint, ohne deren Akzeptanz und Mitarbeit von Sicherheitskonzepten es keinen Schutz vor Cyberangriffen gebe.

Lesen Sie auch

„Cyberangriffe werden immer häufiger“

Schotten und Pawlowsky haben sich mit anderen Sicherheitsexperten in Neubiberg getroffen, um genau über so ein Konzept zu diskutieren und zwar nicht irgendeines. Es geht um die Vorstellung von Eckpunkten einer nationalen Wirtschaftsschutzstrategie für Firmen und Forschungseinrichtungen deutschlandweit, die gerade im Bundesinnenministerium entsteht. Dort dafür zuständig ist Staatsekretärin Rita Schwarzelühr-Sutter. „Cyberangriffe werden nicht nur immer häufiger, sondern auch vielfältiger“, weiß sie und wirbt für den Aktionsplan Wirtschaftsschutz 2024.

Der soll Wirtschaftsschutz konkret umsetzen und das möglichst noch dieses Jahr. Kurz gesagt kreist der Plan um die beiden Elemente Kooperation zwischen Staat und Wirtschaft sowie deren Koordinierung. „Wir haben gute Sicherheitsbehörden“, sagt Schwarzelühr-Sutter. Aber untereinander koordiniert seien die bislang wenig, räumt sie ein und will das nun ändern. Wenn alles Wissen geteilt ist, müsse noch ein weiteres Element dazu, um die deutsche Wirtschaft und ihre Lieferketten effektiv zu schützen. Das ist ein enger Schulterschluss mit den heimischen Firmen. „Die Umsetzung gelingt nur in den Unternehmen selbst“, betont die SPD-Politikerin. Bei ihr und damit dem Innenministerium als koordinierender Instanz sollen am Ende alle Fäden zusammenlaufen.

Um das rasch zum Funktionieren zu bringen, wird der Unterstützungsbedarf von Start-ups, Mittelstand und Großkonzernen sowie Forschungseinrichtungen ermittelt. Zugleich wird eine Plattform zum Austausch aller staatlichen und privatwirtschaftlichen Akteure aufgebaut. „Es geht nicht darum, dass wir Krise können, sondern dafür zu sorgen, dass es nicht nur Krise kommt“, sagt die Koordinatorin zum finalen Ziel.

Manch Unternehmen fremdelt

Davor stehen Hürden. Das fängt damit an, dass sich angegriffene Firmen den Behörden nicht immer anvertrauen. In Neubiberg räumen selbst Sicherheitschefs großer Firmen ein Fremdeln mit staatlichen Stellen ein. „Wir sind nur dann gut, wenn wir Informationen vom Unternehmen erhalten“, stellt Pawlowsky klar. Wer erfolgreich ausspioniert wurde, hat oft Angst vor Reputationsverlust oder Geheimhaltungsbedürfnisse auch gegenüber Behörden. „Wir können zusichern, alles vertraulich zu behandeln und müssen nicht an Polizei oder Staatsanwaltschaft melden“, sagt der Verfassungsschützer.

Zusammenarbeit sei fraglos wichtig, räumt Kerstin Petretto ein. „Aber der Flickenteppich staatlicher Zuständigkeiten ist eine Herausforderung“, sagt die Sicherheitsreferentin des Bundesverbands der Deutschen Industrie (BDI). Noch könne man nicht erkennen, dass staatlicherseits koordiniert und zusammengeführt wird. Klar sei aber auch, dass viele Unternehmen noch zu wenig gegen Cyberkriminelle tun.

Der Blick von Carlo Masala ist auf die Maschinenräume der Unternehmen gerichtet. „Wenn die Mitarbeiter nicht mitmachen, kann keine Resilienz entstehen“, sagt der Professor für internationale Politik an der Bundeswehr-Universität. Da fehle es trotz allem oft immer noch am Risikobewusstsein bis in Chefetagen hinauf. „Sicherheit kostet Geld“, weiß Masala. In wirtschaftlichen harten Zeiten werde auch dort gespart, was Firmenvertreter in der Diskussionsrunde bestätigen. Es sei nicht einfach, innerhalb von Unternehmen Bewusstsein zu schaffen und aus einer Krise die richtigen Schlüsse zu ziehen für das nächste Mal.

„Das ist irre“

Dafür, dass der Aktionsplan noch dieses Jahr umgesetzt sein soll, wird in den Räumen der Bundeswehr-Universität erstaunlich viel Grundsätzliches diskutiert. Auch was Masala noch anmerkt, gibt nicht gerade Anlass für große Hoffnung. „Sie können das gesamte Nato-Pipelinesystem im Internet abrufen, das ist irre“, sagt der Wissenschaftler erschüttert. „Wir haben keine wirkliche Zeitenwende, wir stehen da erst am Anfang“, findet er.