In einem Kontrollraum sieht es aus wie in einem Raumschiff. Tag und Nacht haben Männer und Frauen Dutzende Monitore vor sich und an den Wänden im Blick. So können sie jeden Winkel des 76 Hektar großen Werksgeländes überwachen. Gegen unsichtbare Attacken aus dem Netz allerdings bietet diese Überwachung keinen Schutz.
Um den geht es anschließend in Wennemers unscheinbarem Büro. Voß stellt viele Fragen, arbeitet acht eng bedruckte DIN-A4-Seiten ab. Details sind geheim. Doch bei allen Unternehmen, die Voß besucht, prüft er die Sicherheitssysteme seiner Gesprächspartner nach den gleichen Grundsätzen.
Zu denen gehört etwa die Frage, ob die Sicherheit Chefsache ist, welche Regelungen es für private und dienstliche mobile Endgeräte gibt und welcher Mitarbeiter Zugang zu welchen Daten erhält. Es geht darum, wie Mitarbeiter und externe Dienstleister kontrolliert werden, welche Schulungen es gibt und wie die Sicherheit auch auf Dienstreisen gewährt werden soll. Ebenfalls wichtig: technische Aspekte wie die Sicherung von Speicherplätzen, Verschlüsselungen und Methoden, um Angriffe zu erkennen.
Solche Fragen sind auch für Markus Müller relevant. Als Geschäftsführer des Carl Jaspers Versicherungskontors in Köln vermittelt er Unternehmen Industrieversicherungen. Müller kennt deshalb die Sicherheitssysteme, Produktpipelines und aktuellen Kennzahlen seiner Kunden genau. „Wir brauchen diese tiefen Einblicke, um die individuellen Risiken zu klären“, sagt er.
Das Gesetz verpflichtet ihn, wie jeden Unternehmer, sensible Daten Dritter in seinem Büro mit 29 Mitarbeitern so gut wie möglich zu schützen. Deshalb lässt sich auch Müller seit 2016 regelmäßig vom Verfassungsschutz beraten. „Viele Unternehmen und Selbstständige unterschätzen, wie nützlich ihre Daten für Cyberkriminelle sind“, sagt Verfassungsschutzexperte Dirk Ritter-Dausend. Berater horten Details über Kunden und Strategie, Wissenschaftler forschen oft auf Basis von Patenten Dritter, Rechtsanwälte haben ganze Packen vertraulicher Informationen in ihren digitalen Akten. „Solche Daten müssen gehütet werden wie das eigene Tafelsilber“, sagt Ritter-Dausend. Werden Informationen Dritter gehackt, können Manager sogar strafrechtlich haften.
Im Gespräch von Ritter-Dausend mit Versicherungsmakler Müller geht es immer wieder auch um Grundsatzfragen. Etwa darum, welche Daten zwingend erfasst und gespeichert werden müssen, wie klein der Kollegenkreis sein kann, der auf sie zugreifen darf. Um seine Angestellten zu sensibilisieren, lässt Müller sie regelmäßig schulen. „Entscheidend“, so meint er, „ist außerdem ein gutes Betriebsklima, damit auch intern niemand auf falsche Gedanken kommt.“
Neben bewussten Saboteuren sind auch unvorsichtige Angestellte ein Problem. Über soziale Netzwerke wie LinkedIn und Facebook spionieren Angreifer Mitarbeiter des Zielobjektes aus. Anschließend bekommen diese eine personalisierte Mail: Der Personaler erhält Post mit dem Betreff „Bewerbung“, beim Hobbysegler geht es um „Karten für die Messe Boot“, an den Abteilungsleiter wendet sich ein angeblicher Personalberater. Wer den Anhang öffnet, aktiviert einen Trojaner oder andere Spähprogramme.
Obwohl der Trick seit Langem bekannt ist, funktioniert er immer noch erstaunlich oft. „Die klassische Anbahnung stirbt nie aus“, sagt Verfassungsschützer Voß. Selbst der sogenannte „Romeo-Trick“, bei dem ein charmanter Gesprächspartner bei seinem Zielobjekt abends an der Hotelbar auf Tuchfühlung geht – oft samt späterer Erpressung mit Fotos – sei immer noch erfolgreich.
Urenco hat deshalb besonders strenge Regeln eingeführt. Bei der Arbeit dürfen Mitarbeiter keine privaten Mails öffnen. Sie sollen nicht in die rund 30 Länder reisen, die als besonders anfällig für Spionage gelten. Und für die heikelsten Abläufe und Prozesse gilt ein komplettes Internetverbot. Wann das Uranhexafluorid das Werk verlässt und wann die Zutaten dort eintreffen, erfahren Beteiligte komplett offline und analog: „Die Daten gelangen auf anderen Wegen in zwei Büros“, sagt Wennemer. Dass ein Faxgerät im Einsatz ist, lässt er sich entlocken. Mehr nicht. Es geht schließlich um Sicherheit.
