Die Falle schnappt im Großraumwagen des ICE nach Frankfurt zu. Nils Magnus klappt seinen Laptop auf, aktiviert per Tastendruck ein paar Spionageprogramme – „nichts Besonderes“, sagt er, „an die kommt jeder ran“ – und schaut nach, was der Geschäftsmann am anderen Ende des Wagens so alles im Postausgang seines Notebooks zwischengelagert hat: die Geheimzahl für das Girokonto, das Passwort für Ebay und Amazon, das Video vom Familientreffen am Wochenende sowie die Dateien mit den Vertragsentwürfen für die Kaufverhandlungen am Nachmittag. Nach zehn Minuten kennt Magnus die intimsten Geheimnisse aus dem Privat- und Geschäftsleben des Managers und speichert sie auf seinem Notebook ab. Es ist ein Datendiebstahl, wie er tagtäglich passiert und bei Unternehmen in jedem Jahr Schäden von mehr als zehn Milliarden Euro anrichtet, schätzen Sicherheitsexperten. Doch dieses Mal hat der Geschäftsmann Glück. Im Auftrag der WirtschaftsWoche ist Magnus, ein Mitarbeiter der auf IT-Hochsicherheitstechnik spezialisierten Essener Firma Secunet, für einen Tag in die Rolle eines Geheimdienstagenten geschlüpft. Auf einer der Hauptreiserouten vieler Manager spielt er den Ernstfall im Live-Test durch: Die Szenen, die wir beschreiben, sind nicht gestellt, sondern real. Die WirtschaftsWoche will vom Hoflieferanten der Bundesregierung, der unter anderem den E-Mail-Verkehr zwischen den deutschen Botschaften im Ausland verschlüsselt, wissen: Sind deutsche Führungskräfte wirklich so fahrlässig im Umgang mit Handy, Laptop und Blackberry, dass jeder halbwegs Geschulte mit handelsüblicher Technik quasi im Vorbeigehen in die Geräte eindringen und auf streng vertrauliche Daten zugreifen kann? Bei der Aktion vermeidet Magnus jeden illegalen Einbruch. Er knackt nur den Zugang. Erst später im Büro demonstriert Magnus, was er hätte anstellen können. Tatort ICE 813 von Köln nach Frankfurt, Montag, morgens um 7.07 Uhr. Zu dieser frühen Stunde steigen in Köln nur wenige Pendler in den ICE nach Frankfurt. Bis zum nächsten Stopp, dem ICE-Haltepunkt Siegburg/Bonn, bleiben noch 15 Minuten – genug Zeit, um den ersten Coup sorgfältig vorzubereiten. Wir suchen uns eine Sitzgruppe mit Arbeitstisch im Großraumwagen und stimmen unser Vorgehen ab. Wir arbeiten verdeckt, um keinen Verdacht bei den Mitreisenden zu erregen. Auch der Fotograf ist angewiesen, Abstand zu halten und mit versteckter Kamera zu filmen. Man soll uns für eine Gruppe gut bekannter Manager halten, die sich auf den nächsten Termin vorbereiten. Unser Geheimauftrag: Am ICE-Haltepunkt Siegburg/Bonn steigt der Vorstand eines Maschinenbauers zu, der mit einem Angebot zu einem Kunden nach Frankfurt unterwegs ist. Auf seinem Laptop befinden sich die unterschriftsreifen Verträge, was wir im Vorfeld eruiert haben. Die Datei wollen wir in unseren Besitz bringen. Die Zielperson befindet sich unter den 25 Geschäftsleuten, die in Siegburg/Bonn in den Großraumwagen steigen. Unser wichtigstes Werkzeug, ein ganz normaler Laptop der Marke Dell, ist einsatzbereit. Niemandem fällt auf, dass an diesem Morgen ein besonderes Programm arbeitet: die Schnüffelsoftware Wireshark Network Analyzer. Das ist kein Spezialprogramm für Geheimdienstagenten, sondern eine überall erhältliche Netzwerk-Analysesoftware, die jeder im Internet herunterladen kann. Unsere Zielperson gehört zu den 15 Managern, die ihren Laptop auspacken. Alle arbeiten offline, also ohne Verbindung ins Internet. Denn Web-Anschluss über so genannte Hotspots gibt es nur in Bahnhöfen. Doch das kann uns nicht aufhalten. In knapp der Hälfte aller Laptops und Notebooks, ermittelt Wireshark, ist das Funkmodul für drahtlose WLAN-Netze aktiviert. Ohne Internet-Zugang in Reichweite sucht der WLAN-Chip permanent nach dem voreingestellten Heimat- oder Büronetz.
Bildergalerie: Die neuesten Handys der Cebit 2007
Für Datendiebe ist damit der rote Teppich ausgerollt. Aus den Suchrufen des Notebooks müssen wir mithilfe weiterer Spionageprogramme die Zugangsdaten vom Büro-Hotspot und E-Mail-Server auslesen. So kann unser Computer in seine neue Rolle schlüpfen: Er gibt vor, der gesuchte Mailserver zu sein. Es funktioniert. Ohne aufzufallen, klinken wir uns in die WLAN-Verbindung des Laptops ein. Werden nun – etwa am Hotspot im nächsten Bahnhof – E-Mails verschickt, läuft der Datenstrom über unseren Rechner, und die Inhalte der E-Mails können mitgelesen und aufgezeichnet werden. „Der technische Aufwand ist gering“, sagt Secunet-Experte Magnus. Der Praxistest zeigt: Das Eindringen dauert ein paar Minuten. Doch der Aufwand lohnt sich. Denn die Datendiebe befinden sich in einer komfortablen Position. Sie agieren passiv im Hintergrund und hinterlassen keine Spuren. Jahrelang könnte man so einen Manager, etwa wenn er jeden Montag zwischen Köln und Frankfurt pendelt, gezielt ansteuern und ausspionieren. Der Verfassungsschutz warnt deutsche High-Tech-Unternehmen seit Jahren vor Lauschangriffen ausländischer Nachrichtendienste. Doch insbesondere das Top-Management nimmt die Hinweise nicht ernst. Der Werkschutz wird üppig ausgestattet, damit niemand unkontrolliert das Firmengelände betritt. Beim eigenen Handy und Computer hört die Sorgfalt dagegen auf. Jeder zweite Top-Manager unterschätzt die Gefahren des Kommunikationszeitalters und stuft das Bedrohungsrisiko für das eigene Unternehmen als gering ein, heißt es im jüngsten Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Folge: Es wird gespart. Nur ein Fünftel aller Unternehmen investiert mehr als 7,5 Prozent des IT-Budgets in die Sicherheit von Computer, Internet und Handy. Vor drei Jahren waren es noch mehr als doppelt so viel. Nur wenige deutsche Top-Manager ahnen, auf welchen Wegen heute vertrauliche Papiere auf dem Schreibtisch der Konkurrenz landen. Vorbei sind die Zeiten, als Schubladen durchwühlt, Wanzen in Telefonhörern installiert und wertvolle Dateien auf Disketten kopiert wurden. Der Datendieb von heute wählt sich direkt über das Internet in die Computer ein, aktiviert die Mikrofone in den Freisprecheinrichtungen von Handys und Schnurlostelefonen, schaltet sich in laufende Videokonferenzen ein und fängt so wichtige Informationen ab – in der Regel ohne Spuren zu hinterlassen.
