Mehr Schutz als in Gronau geht kaum. Das Werksgelände ist von hohem Drahtzaun umgeben, überall sind Kameras postiert. Sicherheitskräfte warten auch am Eingang, kontrollieren jeden Mitarbeiter, Besucher müssen erst mal Anmeldung und Ausweis vorzeigen und ihr Handy wie im Schwimmbad einschließen. Dann passieren sie eine Sicherheitsschleuse wie am Flughafen, Taschen und Jacken werden durchleuchtet.
Der Aufwand ist verständlich. Schließlich produziert das Unternehmen Urenco hier radioaktives Uranhexafluorid. Der farblose, kristalline Feststoff kommt in Brennelementen für Kernkraftwerke zum Einsatz. Urenco macht damit rund 430 Millionen Euro Umsatz im Jahr.
Trotz allen Aufwands will sich Sicherheitschef Thomas Wennemer nicht nur auf eigene Abwehrkräfte verlassen. Einmal im Jahr schaut deshalb Henning Voß im Werk nahe der holländischen Grenze vorbei. Der Wirtschaftsschutzexperte des Verfassungsschutzes Nordrhein-Westfalen kennt sich bestens aus mit Spionage, Cyberattacken und den neuesten Maschen der illegalen Informationsbeschaffung. Beratung von Unternehmen ist für ihn Alltag. Experten wie Voß sollen vor allem Mittelständlern helfen, Cyberkriminalität in den Griff zu bekommen.
Der Bedarf für solche Abwehrtrainings ist gigantisch. Gerade erst haben offenbar russische Hacker staatliche und privatwirtschaftliche Infrastrukturen angegriffen. Bei 53 Prozent aller deutschen Unternehmen kam es laut einer Studie des Digitalverbandes Bitkom innerhalb von zwei Jahren zu Fällen von Spionage, Datenklau oder Sabotage, mindestens 55 Milliarden Euro Schaden sind so entstanden. Da die Betroffenen Attacken aus Angst vor Reputationsschäden oft gar nicht melden, liegen die tatsächlichen Zahlen vermutlich deutlich höher.
Unbefugte Eindringlinge
In allen Bundesländern bieten Verfassungsschützer Unternehmen daher Beratung an – und zwar kostenlos. 2017 hat allein der Verfassungsschutz in NRW mehr als 3000 Manager, Mitarbeiter und Wissenschaftler geschult und beraten – Tendenz steigend.
Die Cyberattacken treffen zunehmend den Mittelstand: Durch die als Industrie 4.0 bekannte Vernetzung von Maschinen über das Internet entstehen neue Angriffspunkte, über die sich Wissen absaugen oder der Betrieb sabotieren lässt. Schon bei mittelgroßen Unternehmen sind heute viele Tausend Geräte und Maschinen miteinander verbunden. Jedes einzelne kann Zutritt zum Netzwerk verschaffen und ist damit ein potenzielles Ziel für Eindringlinge.
IT- und Informationssicherheit in deutschen Unternehmen
Eine Umfrage der "Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)" fördert deutliche Investitionsbereitschaft deutscher Unternehmen in mehr IT-Sicherheit zu Tage.
Quelle: Studie "IT-Sicherheit und Datenschutz 2017" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)
von 100 befragten IT-Experten und IT-Sicherheitsexperten sind davon überzeugt, dass die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten zwölf Monaten um rund ein Drittel ansteigen werden.
erwarten langfristig bis zum Jahr 2025 einen um etwa ein Drittel höheren monetären Einsatz, verglichen mit dem bisherigen Invest.
der befragten Fach- und Führungskräfte gehen von einem Anstieg der Investitionssummen um die Hälfte aus. Der akute Bedarf an Sicherheitsmaßnahmen wird damit als relevanter eingeschätzt: Im Jahr 2016 gingen noch 58 Prozent der befragten Fach- und Führungskräfte von einem Ausgabenanstieg um 50 Prozent bis im Jahr 2025 aus.
geht bis zum Jahr 2025 sogar von einer Verdopplung der bisherigen Investitionssumme aus. Innerhalb der kommenden 12 Monate vermuten lediglich neun Prozent eine Verdopplung der Investitionssumme.
der Umfrageteilnehmer vermuten, dass bis zu 75 Prozent der Unternehmen innerhalb der letzten drei Jahre mit einem Sicherheitsvorfall zu kämpfen hatten.
der Befragten meinen, dass etwa die Hälfte der Firmen aufgrund von Cyberkriminalität aktiv Schadensbegrenzung betreiben musste.
15 Prozent der Befragten gehen sogar davon aus, dass mehr als 75 Prozent der Unternehmen einen Sicherheitsvorfall innerhalb der letzten drei Jahre lösen mussten.
Trotzdem sind viele Unternehmen nicht ausreichend vorbereitet. „Unsere Experten erleben in der Beratung regelmäßig, dass sich nicht alle Firmen der realen Gefahr bewusst sind und leichtsinnig mit Daten umgehen“, sagt Herbert Reul, als Innenminister in Nordrhein-Westfalen für den Verfassungsschutz verantwortlich. „IT-Sicherheit muss Chefsache sein“, meint Reul.
Die Technologie von Urenco in Gronau ist ein Musterbeispiel für sensibles geistiges Eigentum – und damit ein typisches Ziel für Wirtschaftsspione. Nach der Begrüßung machen sich Verfassungsschützer Voß und Sicherheitschef Wennemer durch Gänge voller Verbotsschilder auf den Weg. Voß erklärt schon mal, dass „Kronjuwelen generell mit weit mehr als IT-Updates und Spamfiltern geschützt werden müssen“. Er wundere sich immer wieder, wie viele Unternehmen das zwar theoretisch wüssten, aber nicht entsprechend handelten. Auch glaubten viele, dass sich Angreifer nur für neueste Informationen interessieren. Dabei seien auch ältere Patente eine begehrte Beute.
Ist die Sicherheit Chefsache?
In einem Kontrollraum sieht es aus wie in einem Raumschiff. Tag und Nacht haben Männer und Frauen Dutzende Monitore vor sich und an den Wänden im Blick. So können sie jeden Winkel des 76 Hektar großen Werksgeländes überwachen. Gegen unsichtbare Attacken aus dem Netz allerdings bietet diese Überwachung keinen Schutz.
Um den geht es anschließend in Wennemers unscheinbarem Büro. Voß stellt viele Fragen, arbeitet acht eng bedruckte DIN-A4-Seiten ab. Details sind geheim. Doch bei allen Unternehmen, die Voß besucht, prüft er die Sicherheitssysteme seiner Gesprächspartner nach den gleichen Grundsätzen.
Zu denen gehört etwa die Frage, ob die Sicherheit Chefsache ist, welche Regelungen es für private und dienstliche mobile Endgeräte gibt und welcher Mitarbeiter Zugang zu welchen Daten erhält. Es geht darum, wie Mitarbeiter und externe Dienstleister kontrolliert werden, welche Schulungen es gibt und wie die Sicherheit auch auf Dienstreisen gewährt werden soll. Ebenfalls wichtig: technische Aspekte wie die Sicherung von Speicherplätzen, Verschlüsselungen und Methoden, um Angriffe zu erkennen.
Solche Fragen sind auch für Markus Müller relevant. Als Geschäftsführer des Carl Jaspers Versicherungskontors in Köln vermittelt er Unternehmen Industrieversicherungen. Müller kennt deshalb die Sicherheitssysteme, Produktpipelines und aktuellen Kennzahlen seiner Kunden genau. „Wir brauchen diese tiefen Einblicke, um die individuellen Risiken zu klären“, sagt er.
Das Gesetz verpflichtet ihn, wie jeden Unternehmer, sensible Daten Dritter in seinem Büro mit 29 Mitarbeitern so gut wie möglich zu schützen. Deshalb lässt sich auch Müller seit 2016 regelmäßig vom Verfassungsschutz beraten. „Viele Unternehmen und Selbstständige unterschätzen, wie nützlich ihre Daten für Cyberkriminelle sind“, sagt Verfassungsschutzexperte Dirk Ritter-Dausend. Berater horten Details über Kunden und Strategie, Wissenschaftler forschen oft auf Basis von Patenten Dritter, Rechtsanwälte haben ganze Packen vertraulicher Informationen in ihren digitalen Akten. „Solche Daten müssen gehütet werden wie das eigene Tafelsilber“, sagt Ritter-Dausend. Werden Informationen Dritter gehackt, können Manager sogar strafrechtlich haften.
Im Gespräch von Ritter-Dausend mit Versicherungsmakler Müller geht es immer wieder auch um Grundsatzfragen. Etwa darum, welche Daten zwingend erfasst und gespeichert werden müssen, wie klein der Kollegenkreis sein kann, der auf sie zugreifen darf. Um seine Angestellten zu sensibilisieren, lässt Müller sie regelmäßig schulen. „Entscheidend“, so meint er, „ist außerdem ein gutes Betriebsklima, damit auch intern niemand auf falsche Gedanken kommt.“
Neben bewussten Saboteuren sind auch unvorsichtige Angestellte ein Problem. Über soziale Netzwerke wie LinkedIn und Facebook spionieren Angreifer Mitarbeiter des Zielobjektes aus. Anschließend bekommen diese eine personalisierte Mail: Der Personaler erhält Post mit dem Betreff „Bewerbung“, beim Hobbysegler geht es um „Karten für die Messe Boot“, an den Abteilungsleiter wendet sich ein angeblicher Personalberater. Wer den Anhang öffnet, aktiviert einen Trojaner oder andere Spähprogramme.
Obwohl der Trick seit Langem bekannt ist, funktioniert er immer noch erstaunlich oft. „Die klassische Anbahnung stirbt nie aus“, sagt Verfassungsschützer Voß. Selbst der sogenannte „Romeo-Trick“, bei dem ein charmanter Gesprächspartner bei seinem Zielobjekt abends an der Hotelbar auf Tuchfühlung geht – oft samt späterer Erpressung mit Fotos – sei immer noch erfolgreich.
Urenco hat deshalb besonders strenge Regeln eingeführt. Bei der Arbeit dürfen Mitarbeiter keine privaten Mails öffnen. Sie sollen nicht in die rund 30 Länder reisen, die als besonders anfällig für Spionage gelten. Und für die heikelsten Abläufe und Prozesse gilt ein komplettes Internetverbot. Wann das Uranhexafluorid das Werk verlässt und wann die Zutaten dort eintreffen, erfahren Beteiligte komplett offline und analog: „Die Daten gelangen auf anderen Wegen in zwei Büros“, sagt Wennemer. Dass ein Faxgerät im Einsatz ist, lässt er sich entlocken. Mehr nicht. Es geht schließlich um Sicherheit.
