Mehr Geld mit Wirtschaftsspionage als mit Drogen

Google, Facebook und Microsoft sind nicht gerade bekannt dafür, zimperlich mit Datenschutzrichtlinien umzugehen. Doch den Konzernen gingen die Spähaktivitäten der NSA jetzt zu weit. In einem Brief forderten sie gemeinsam mit fünf anderen führenden US-Internetfirmen US-Präsident Barack Obama auf, seinen Cyber-Geheimdienstapparat zu reformieren.

Aber was nützt die beste Computer-Spähabwehr, wenn man seinen Mitarbeitern nicht trauen kann. Der Geschäftsführer eines kleinen Berliner Startups erkannte die Gefahr viel zu spät. Offenbar über einen längeren Zeitraum hatte da die neu eingestellte Putzkraft bereits sensible Daten und das innovative geistige Eigentum des Unternehmens abgeschöpft - unbemerkt. Dabei hätte sich die Personalabteilung beim Einstellungsgespräch bloß mal den Lebenslauf zeigen lassen sollen: Denn der Mann besaß eine Dissertation in Mathematik und Informatik. Geschichten wie diese kennt Frank Rieger vom Chaos Computer Club (CCC) zuhauf.

Während Konzerne wegen ihrer oft guten Sicherheit geschützt sind, sieht das bei den Kleinen- und Mittelständische Unternehmen ganz anders aus. Allein in Berlin gibt es von ihnen über 160 000. So mancher Newcomer weckt Begehrlichkeiten. Cyberkriminalität ist ein boomendes Geschäft, bei dem jährlich mehr Geld gemacht wird als mit Drogen. »Über 4,2 Milliarden Euro waren es 2012 allein in Deutschland«, sagt Arne Schönbohm vom Cyber-Sicherheitsrat Deutschland e.V. Er und Rieger waren vor kurzem zu Gast im Verfassungsschutzausschuss des Berliner Abgeordnetenhauses, um die Parlamentarier über die Gefahr aufzuklären. Dass die Bedrohung keine Chimäre ist, zeigt sich auch bei einer Veranstaltung der Industrie- und Handelskammer (IHK) zur NSA-Spähaffäre.

Sowohl Datendiebstahl als auch Edward Snowdens Enthüllungen verunsichern Berliner Unternehmer massivst. Auch weil die Themen spätestens mit Angela Merkels Handy zum ersten Mal greifbar wurden. Verunsicherung herrscht auch, weil Dinge, die auf den ersten Blick nicht zusammengehören, nun doch, irgendwie, zusammenfinden. Arne Schönbohm fordert vom für Wirtschaftsspionage zuständigen Berliner Verfassungsschutz, Unternehmen besser zu schützen. Aber auch die Nachrichtendienste spionieren und lassen sich Hintertürchen in Software einbauen. Hintertüren, die nicht zuletzt Wirtschaftsspionage erst ermöglichen.

In der »neuen Welt nach Snowden«, so CCC-Sprecher Rieger, müssen sich alle neu aufstellen. Die Unternehmen, für die bisher im Zweifelsfall Bequemlichkeit vor Sicherheit ging; der Verfassungsschutz, der rechtlich zwar verantwortlich für die Abwehr von Wirtschaftsspionage ist, nicht aber für Wirtschaftskriminalität; die Länder, die alleine gar nichts tun können; der Bund, der im Gemisch politischer und wirtschaftlicher Interessen nicht nur das Thema unterschätzt hat, sondern auch falsche Schwerpunkte setzt.

Beim Berliner Verfassungsschutz etwa gibt es fünf Stellen für Spionageabwehr, nur eine davon ist spezialisiert auf Wirtschaftsspionage. Das Bundesamt für Sicherheit in der Informationstechnik hat einen jährlichen Etat von 120 Millionen Euro. Zum Vergleich: Der Iran investiert seit 2010 jährlich eine Milliarde in seine Cyberabteilung. Dabei gilt es, so der ehemalige Verfassungsschützer und nun in der Wirtschaft tätige Ansgar Baums, sich von einer geografischen Vorstellung von Cyberkriminalität zu lösen. Weltweit bildet sich ein Markt, auf dem sich unternehmensähnliche Strukturen auf digitale Verbrechen spezialisieren, Daten klauen und zum Weiterverkauf anbieten. »Cybercrime as a service«, Internetverbrechen als Dienstleistung, bei dem Staaten genauso Auftraggeber als auch Opfer sind wie die freie Wirtschaft.

Was können Unternehmen tun, um ihre »Kronjuwelen« zu schützen? Für den Rechtsanwalt Niko Harting ist der erste auch der wichtigste Schritt: eine Bestandsaufnahme, wie es im eigenen Unternehmen mit der IT-Sicherheit aussieht. Auch Guido Brinkel von der 1&1 Internet AG rät dazu, IT-Sicherheit zur Chefsache zu machen, und Geld dafür auszugeben. Darüber hinaus empfiehlt er, kritische Geschäftsbereiche zu identifizieren und mit Verschlüsselungstechnologie zu schützen.