Denn auch wenn das offiziell kein Politiker je sagen würde: Deutsche Unternehmen stehen unter Dauerbeschuss allen voran russischer und chinesischer Geheimdienste. Und Zielobjekte sind längst nicht mehr nur Konzerne und High-Tech-Schmieden. Zunehmend ins Fadenkreuz geraten auch Banken, die interessante Datensammlungen über die Finanzkraft von Unternehmen und Staaten besitzen. Ein Grund, weshalb die R+V Versicherung in Wiesbaden ihre Anteilseigner aus den Volks- und Raiffeisenbanken auf der Hauptversammlung so schockte.
Längst vorbei sind nämlich die Zeiten, in denen ausländische Gegner jahrelang Spione aufbauten, sie mit Kamera oder Nachschlüssel auf Jagd schickten oder sie Abhörwanzen an unzugänglichen Stellen einrichten ließen. Stattdessen droht heute die größte Gefahr aus dem Rechner, im Extremfall sitzt der Spion Tausende Kilometer entfernt.
„Spionage, insbesondere via Computer, wird oftmals gar nicht oder erst zu spät bemerkt“, sagt Burkhard Even, Abteilungsleiter Spionageabwehr beim Bundesamt für Verfassungsschutz in Köln. Und wenn ein Unternehmen einem Spionagefall auf die Spur gekommen ist, schaltet es in der Regel nicht die Sicherheitsbehörden ein. „Die Betroffenen fürchten vor allem den Imageschaden.“
Die Tricks der Cyberkrieger
Wie leicht Unbefugte an Unternehmensdaten kommen, zeigen erschreckende Beispiele aus der Praxis.
Wer will, kann es selbst versuchen. Jeder, auch ohne die geringste Ahnung in Spionagetechniken, kann zum Hacker werden, der sich in Unternehmen einschleicht. Zu den ersten Fingerübungen zählt: Man gebe in das Suchfenster bei Google „intitle: live view / - axis“ ein – und schon liefert die Suchmaschine Web-Kameras, die frei über das Internet anwählbar sind.
Und das sind ganz schön viele. Kein Problem, um mit ein paar Klicks in die Überwachungskamera am Swimmingpool eines Hotels in Dubai oder einer Verkehrskreuzung in Köln einzudringen. Mehr noch. Vom eigenen PC aus lässt sich die Kamera nach links und rechts steuern. Auch das Zoomen, also das Heranfahren an besonders interessante Objekte, ist häufig kein Problem. Profi-Hacker schaffen es auch, den Aufpasser in der Leitstelle zu ärgern, indem sie das gesamte Bild mit ein paar Dutzend x durchkreuzen – und sich dann in eine andere Web-Cam einwählen.
Für Unternehmen ist das eine sehr ernste Gefahr. Manchmal reicht schon das Eindringen in einen einzigen Firmenrechner aus, um in den inzwischen völlig vernetzten Unternehmen unbehelligt umherzustreifen. Nicht nur der Computer, auch Telefonanlagen und viele andere Maschinen besitzen inzwischen einen Internet-Anschluss mit einem vom Werk voreingestellten und öffentlich bekannten Zugangskode. Mehr als leichtsinnig sind all die Unternehmen, die vergessen, dieses Standard-Passwort abzuändern.
Gut durchorganisierter Coup
Gelingt es einem Angreifer, auf diese oder ähnliche Art in einen Rechner vorzustoßen, verfolgt er meist nur ein Ziel: Er muss eine schädliche Software, etwa einen Trojaner, auf dem Rechner eines Mitarbeiters platzieren. Geheimdienstler nehmen dazu gern den falschen Namen eines Freundes oder alten Bekannten des PC-Benutzers an, den sie leicht in Kontaktlisten der sozialen Netzwerke finden. Dann schicken sie dem PC-Benutzer eine E-Mail mit Anhang, in der etwa ein Trojaner versteckt ist. Wird der Anhang auf einem PC geöffnet, der unzureichend durch Schutzprogramme abgesichert ist, breitet sich der Trojaner sofort aus. Mit seiner Hilfe kann der Spion dann im schlimmsten Fall in das gesamte Datennetz eines Unternehmens vordringen.
Misslingt der Angriff aus der Ferne, bleibt manchmal nur die Attacke aus der Nähe. So berichten Verfassungsschützer von Spionen, die auf Messen getarnt als Kunden oder Verkäufer Kontakt mit ihren Opfern aufnehmen und ihnen einen USB-Stick schenken, auf der eine Spionagesoftware versteckt ist. Der Rechner infiziert sich, sobald das Opfer den Stick in einen ungeschützten Computer schiebt.
Selbst normalerweise gut abgesicherte Institutionen sind gegen solche Angriffe nicht immun. Im Februar und März dieses Jahres drangen Computerbetrüger in die Emissionshandelsstelle des Umweltbundesamtes ein, nachdem sie durch fingierte E-Mails die Passwörter einiger Großkunden abgefangen hatten. Innerhalb kurzer Zeit hatten die Betrüger mit den Daten der Geschädigten rund 250.000 CO2-Zertifikate gestohlen und zum Börsenwert von zwölf Euro an andere Händler weiterverkauft. Bei dem gut durchorganisierten Coup konnten die Betrüger eine Beute von rund drei Millionen Euro machen.
