IT-Sicherheit Ausspioniert bis zum Ruin

Deutsche Unternehmen gelten als technisch innovativ. Deshalb werden ihre Computersysteme von umtriebigen Konkurrenten ausgespäht. Der Schaden geht in die Milliarden. Doch jetzt haben die Attacken eine neue, gezielte Dimension erreicht - und die Verluste können ganze Unternehmen ruinieren.
Von Karsten Stumm

Düsseldorf - Er war sich absolut sicher. Warum hätte Unternehmer Jürgen Rauger* (Name von der Redaktion geändert) die Wette sonst angenommen? Das Computersystem seiner Firma war doch auf dem neuesten Stand. Unsummen hatte er in den Schutz seiner Anlagen gesteckt. Gerade erst wieder. Niemand Unbefugtes kam da mehr hinein. Das stand für ihn fest. Und jetzt wettete dieser Jungspund mit ihm, dass es doch ginge?

Als Rauger einschlug war er guter Dinge. Zwei Wochen später öffnete er den versiegelten Briefumschlag mit den Ergebnissen. Das muss ziemlich genau der Moment gewesen sein, in dem er erbleichte.

"Wir hatten ihm die komplette Passwortliste seines Computersystems in den Umschlag gesteckt. Als Beweis, dass wir all seine Sicherheitsvorkehrungen aushebeln konnten", sagt Sebastian Schreiber. "Jegliche Unternehmensinformationen hätten uns zur Verfügung gestanden, alle Finanzdaten, die neuesten Entwicklungen."

Schreiber sagt das ohne Triumph in der Stimme, als lese er das Ergebnis in seinem inneren Tagebuch nach. Denn Schreiber spürt ständig im Auftrag großer Unternehmen Sicherheitslecks in den Computeranlagen der Firmen auf. Überwindet dazu Sicherheitshürden, umgeht Abwehrmechanismen, versucht Passwörter zu ermitteln. Sie zeigen ihm das System, er greift es an. Das ist sein Job.

"Wir simulieren nichts, wir beobachten nicht, wir attackieren deren Netzwerk nach allen Regeln der Hackerkunst. Kompromisslos." Daimler , die Deutsche Bank , die Europäische Zentralbank, IBM , SAP  und sogar die Bundeswehr haben ihn bereits engagiert. Und nebenbei Schreibers Firma Syss in Tübingen gebeten, die gefundenen Lecks doch irgendwie zu schließen. Und das, bitte schön, möglichst schnell.

Die Eile täte auch bei vielen anderen deutschen Unternehmen not. Nach einer Untersuchung der Münchener Unternehmensberatung Corporate Trust, die sich auf Sicherheitsdienstleistungen spezialisiert hat, entsteht den hiesigen Firmen jährlich ein Schaden durch Spionage oder Datenklau von etwa drei Milliarden Euro - mindestens. Wahrscheinlich aber ist es noch viel mehr.

Opfer gezielter Attacken

Opfer gezielter Attacken

"Denn nach eigenen Angaben der Unternehmen wurden nur in einem Viertel der Fälle die Behörden eingeschaltet. Sie scheuen die Öffentlichkeit, den möglichen Reputationsverlust. Und die meisten Angriffe bleiben wahrscheinlich schlicht unentdeckt", sagt Corporate-Trust-Chef Christian Schaaf. August Hanning, Staatssekretär im Bundesinnenministerium und einst Chef des Bundesnachrichtendienstes, schätzt den Wettbewerbsschaden deutscher Unternehmen dann auch auf mehr als 20 Milliarden Euro. Pro Jahr.

Immer wieder betroffen sind nach Angaben des Verfassungsschutzes deutsche Unternehmen aus dem Automobil- und Maschinenbau, der Eisenverarbeitung aber auch aus ganz jungen, zukunftsträchtigen Branchen - der Biotechnologie zum Beispiel. Oder Firmen, die Anlagen zur Nutzung erneuerbarer Energien herstellen. Doch in den Chefetagen zu vieler deutscher Unternehmen herrscht entspannte Gelassenheit. Nur ein Drittel der hiesigen Gesellschaften glaubt, selbst gefährdet zu sein, hat die Unternehmensberatung Corporate Trust ermittelt.

"Insgesamt ist das Gefahrenbewusstsein nicht überall groß genug. Aber besonders in kleineren Aktiengesellschaften, in denen das Management häufig wechselt, wird oftmals weniger sorgfältig auf die eigene Sicherheit geschaut als etwa in inhabergeführten Gesellschaften", hat Syss-Chef Schreiber bemerkt. Mit teils fatalen Folgen.

"Wir konnten kürzlich über ein einfaches Formular, das ein Unternehmen zur Aufnahme von Aufträgen im Internet anbot, dessen gesamte Kundendatenbank ausspionieren", sagt Schreiber. Und solch ausgeklügelten Angriffe gewiefter Spezialisten auf die IT-Systeme deutscher Unternehmen sind längst nicht mehr die Ausnahme.

"In den vergangenen zwölf Monaten haben hierzulande speziell die gezielten Attacken zugenommen. Geplante Angriffe also auf ausgesuchte Unternehmen, mit speziell für diese Firmen entwickelten Programmen", sagt Matthias Rosche, Leiter Beratung bei Integralis, das sich auf Sicherheitslösungen und –services im IT-Bereich spezialisiert hat.

"Oft werden E-Mails vermeintlich von einem tatsächlichen Bekannten des Empfängers versendet. Durch das Öffnen eines unscheinbaren Anhangs in solchen Mails installieren sich dann plötzlich im Hintergrund kleine Programme, die im Zusammenspiel mit anderen gefährlich werden", sagt Rosche.

Alle Entwicklungsdaten im Internet

Alle Entwicklungsdaten im Internet

Bedrohlich angeschwollen ist in den vergangenen Monaten zudem der unkontrollierte Datenabfluss - beispielsweise hervorgerufen durch die immer trickreicheren Internetseiten der Unternehmen, die ihre Kunden die Inhalte der Seite mitgestalten lassen.

So gingen weltweit im vergangenen Jahr vertrauliche Informationen von 160 Millionen Personen oder Unternehmen verloren, schätzt die Internetorganisation Attrition.org, die sich auf Sicherheitsthemen spezialisiert hat. "Und Datenabfluss ist auch in der drittgrößten Volkswirtschaft der Erde, der deutschen, zu einer echten Gefahr geworden", urteilt Andreas Müller, Experte des Softwareunternehmens Matrix42 aus Neu-Isenburg bei Frankfurt am Main.

Nach Angaben des Verfassungsschutzes sind davon vor allem deutsche Unternehmen betroffen, die Hochtechnologie im Angebot haben. Besondere Werkzeugmaschinen zum Beispiel oder elektronische Geräte. "Eklatant wird es, wenn durch mangelnde Vorsicht in diesem Bereich plötzlich eine Investition von 100 Millionen Euro verpufft oder gar eine Fabrik dichtgemacht werden muss, weil die Konkurrenz plötzlich ähnliche Produkte im Angebot hat", sagt Integralis-Berater Rosche.

Der Schutz davor ist allerdings eine Sache für Profis. Denn Daten werden nicht nur von außen aus den IT-Systemen gestohlen, sie verschwinden schnell auch mal in den eigenen Büros. Mal auf USB-Sticks der eigenen Angestellten, dann auf Notebooks, sie verlassen via E-Mail das Unternehmen oder geraten gar in Internetforen, hat das Münchener Unternehmen Infowatch ermittelt, das sich auf den internen Schutz von Firmennetzwerken spezialisiert hat.

"Kürzlich ermittelten wir für ein japanisches Unternehmen einen Entwickler in der Tokioter Zentrale, der seine kompletten Firmendaten in einem öffentlichen Blog diskutieren ließ", sagt Matrix42-Sicherheitsexperte Müller. "Das hätte Millionenverluste zur Folge haben können." "Mitarbeiter sind zwar das wertvollste Kapital eines Unternehmens", ergänzt Corporate-Trust-Chef Schaaf. "Sie sind aber auch eine große Gefahr, wenn es um den Abfluss von Firmen-Know-how geht."

Dass Deutschlands Unternehmen dennoch vergleichsweise wenig Sicherheitsaufwand betreiben, könnte einen banalen wirtschaftlichen Grund haben, fürchten Experten. "Wer sich vor Datenspionage schützen will, muss Geld investieren ohne messen zu können, wie hoch der Ertrag der Geldausgabe war. Sowas stellt jeden Manager vor ein Problem", sagt Andreas Pfitzmann Leiter Datenschutz und Sicherheit der Technischen Universität Dresden.

"Wer nichts tut, wird im schlimmsten Fall allerdings noch größere Schwierigkeiten bekommen", warnt Auftragshacker und Sicherheitsexperte Schreiber. "Spätestens, wenn 50 Kilometer von der eigenen Fabrik eine neue entsteht, in der ein Konkurrent plötzlich die gleichen Waren billiger produziert."

In Bildern: Fünf Tipps, um die eigene IT gut zu schützen

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.