Spezialisten für Spionageabwehr arbeiten lieber im Verborgenen. Wenn allerdings Hans-Georg Maaßen als Präsident des Bundesamtes für Verfassungsschutz (BfV) quasi der oberste Schlapphut der Republik die Wirtschaft zum Erfahrungsaustausch nach Berlin einlädt, dann verlassen auch die sonst so scheuen Sicherheitschefs kleiner und großer deutscher Unternehmen ihre Wagenburg und plaudern ansonsten sorgsam gehütete Interna aus.
An diesem Donnerstag im Mai hat Volker Ressler, Leiter Corporate Protection and Security beim Stuttgarter Autozulieferer Bosch, gerade als Vertreter eines spionagegefährdeten Technologiekonzerns auf dem Podium Platz genommen, als der Moderator die Frage aller Fragen stellt: „Kennen Sie eigentlich Ihre Kronjuwelen?“
Im Visier der Geheimdienste
Kronjuwelen – so nennen Unternehmen ihre kostbarsten Schätze. Früher wurden sie im Panzerschrank aufbewahrt, jetzt liegen sie auf – hoffentlich gut abgeschirmten – Rechnern. Meist sind es Ergebnisse langjähriger Forschungs- und Entwicklungsarbeit. Auch sensible Kundendaten und Angebote bei Ausschreibungen zählen dazu.
Umso überraschter sind die Teilnehmer des Symposiums, dass ausgerechnet der Vertreter von Robert Bosch – mit einem Jahresbudget von 4,5 Milliarden Euro eines der forschungsintensivsten Unternehmen in Deutschland – erstmals ein ehrliches Geständnis ablegt: „Wir sind dabei, unsere Kronjuwelen kennenzulernen.“ Wow. Bosch kennt seine wertvollsten Schätze (noch) nicht. Wer hätte das gedacht.
Was ist über die NSA-Spionage in Deutschland bekannt?
Der GSM-Standard, mit dem Telefongespräche auf Handys verschlüsselt werden, gilt schon lange als geknackt. Die Gespräche können von Lauschern also entschlüsselt werden. Dazu müssen die Angreifer die Telefonate allerdings mitschneiden. Es besteht der Verdacht, dass sich auf dem Dach der US-Botschaft im Berliner Regierungsviertel technische Vorrichtungen befinden, die dazu genutzt werden können.
Nachdem der „Spiegel“ das Abhören des Merkel-Handys aufgedeckt hatte, reagierte US-Präsident Barack Obama. „Die Vereinigten Staaten überwachen die Kommunikation der Kanzlerin nicht und werden sie nicht überwachen“, erklärte Sprecher Jay Carney Ende Oktober. Was die heute als gesichert geltenden Abhörmaßnahmen in der Vergangenheit nicht ausschloss. Das Weiße Haus gab zudem keine Zusicherung, dass Merkels Umfeld nicht abgehört wird.
Die Kanzlerin kann ein besonders geschütztes Kryptohandy nutzen. Damit wurde die Bundesregierung im vergangenen Herbst ausgestattet. Diese Geräte verwenden zusätzliche Verschlüsselungstechnik. Allerdings funktioniert die sichere Kommunikation nur, wenn die Gesprächspartner ebenfalls über ein solches Sicherheitshandy verfügen. Die Hersteller berichten, dass seit Bekanntwerden des Spähskandals die Nachfrage nach ihren teuren Geräten gestiegen sei.
Die USA und Deutschland arbeiten eng zusammen, etwa in der Nato. Doch nach den Anschlägen vom 11. September 2001 in den USA wurde Deutschland zum wichtigsten Aufklärungsziel in Europa, wie der ehemalige NSA-Mitarbeiter Thomas Drake dem „Spiegel“ sagte. Einige der Todespiloten lebten unentdeckt von deutschen Sicherheitsbehörden in Hamburg. Die USA sollen sich außerdem für die wirtschaftliche Lage und die außenpolitischen Ziele Deutschlands interessieren.
Nach Berichten des früheren Geheimdienstmitarbeiters Edward Snowden soll der Geheimdienst NSA seit 2002 das Privat-Handy Merkels abgehört haben. Damals war sie CDU-Vorsitzende. Die NSA soll mehr als 300 Berichte über Merkel gespeichert haben.
Offenbar nicht. Nach Recherchen der „Süddeutschen Zeitung“ und des NDR wurde auch schon SPD-Kanzler Gerhard Schröder abgehört. Grund sei sein Konfrontationskurs zu den USA im Irak-Krieg 2003 gewesen.
Dass die Kanzlerin belauscht wurde, brachte den NSA-Skandal in Deutschland erst richtig ins Rollen. Doch auch die Kommunikation ganz normaler Internetnutzer kann vom US-Geheimdienst und seinem britischen Partnerdienst GCHQ ausgespäht werden. Die Dienste zapfen zum Beispiel die Unterseekabel an, über die Daten verschickt werden.
Der Auftritt des Sicherheitschefs ist symptomatisch für die Stimmung in den Unternehmen. Seit den Enthüllungen des ehemaligen NSA-Agenten Edward Snowden ist klar: Deutschland mit seinen High-Tech-Unternehmen gehört zu den Top-Zielen ausländischer Geheimdienste. Fast jedes dritte deutsche Unternehmen ist in den vergangenen Jahren Opfer eines Cyberangriffs geworden, ergab eine repräsentative Umfrage des ITK-Branchenverbandes Bitkom.
Laut Studie des Virenschutzanbieters McAfee liegt Deutschland mit einem Schaden von 1,6 Prozent des Bruttoinlandsprodukts an der Spitze der betroffenen Länder – weit vor den USA und Japan. Zudem bleiben Angreifer viel zu lange unentdeckt, wie der jüngste Bedrohungsbericht des kalifornischen IT-Sicherheitsanbieters Fireeye zeigt: Durchschnittlich 229 Tage braucht ein Unternehmen, um Datendieben auf die Spur zu kommen.
Kopf in den Sand oder Ärmel hoch?
Wie reagieren deutsche Unternehmen auf diese verschärfte Bedrohungslage? Die WirtschaftsWoche wollte es genauer wissen. Das Ergebnis der zahlreichen Gespräche mit Unternehmens- und Sicherheitschefs: Manche haben den Ernst der Lage noch nicht erkannt, andere kennen die Gefahren, kapitulieren aber vor der technischen Überlegenheit der Geheimdienste und anderer Angreifer.
Die dritte Gruppe krempelt die Ärmel hoch und erhöht die Sicherheitsvorkehrungen noch weiter. Viele dieser Unternehmen wollen ihre Abwehrstrategien nicht offenlegen. Das, so erklären sie unisono, würde nur die Angreifer provozieren, noch aggressivere Attacken zu fahren. Das Risiko will keiner eingehen.
Ein paar zur Nachahmung empfohlene Puzzlesteine aus ihrem Gesamtkonzept haben sie dann aber doch verraten. Schon dieser kleine Ausschnitt zeigt: In der deutschen Wirtschaft gibt es Pioniere, die den Kampf gegen Geheimdienste und straff organisierte Cyberbanden aufnehmen.