Basisschutz und mehr Austausch über Sicherheitsvorfälle

Horst Schärges sprach mit Jan Wolter, Geschäftsführer des ASW Bundesverbandes, über die aktuellen und künftigen Bedrohungen und wie Unternehmen und die gesamte deutsche Wirtschaft sich besser gegen diese wappnen können.

Trotz internationaler Krisen, Bürgerkriegen, zerfallenden Staaten und transnational agierenden Terrororganisationen, der deutschen Wirtschaft geht es doch vergleichsweise gut. Man könnte vermuten, die deutsche Wirtschaft geht angemessen mit den aktuellen Sicherheitsrisiken um?

Jan Wolter: Viele Unternehmen nehmen die Bedrohungen sehr ernst und reagieren entsprechend. Gleichwohl sind die Schäden durch Wirtschaftskriminalität und Spionage enorm. Und sie wachsen weiter. Also ja, es geht der Wirtschaft insgesamt noch gut. Die Betonung liegt dabei auf noch. In einer unserer Veranstaltungen sprach ein Experte vom sogenannten Truthahn-Effekt. Auch dem Truthahn geht es lange sehr gut, er braucht sich keine Sorgen zu machen – bis Thanksgiving. In den letzten Jahren und Monaten hat eine rasante Entwicklung stattgefunden – politisch und technologisch. Aber die Entwicklung ist noch jung. Die Bedrohungen kommen erst jetzt so richtig durch.

Sie haben sich globale Entwicklungen angeschaut und bedrohliche Megatrends herausgefiltert, die eigentlich alle gesellschaftlichen Subsysteme beeinträchtigen. Hoffen Sie darauf, dass einzelne Unternehmen oder auch die Wirtschaft dem Zerfall von Staaten, klimatischen und ökologischen Verwerfungen, den Gefahren der Digitalisierung und Vernetzung oder Terroristen etwas entgegensetzen können?

Jan Wolter: Nein, Wirtschaft und Sicherheitsbehörden können sich nur gegen Symptome verteidigen. Den Ursachen der Gefahren muss die Politik begegnen. Wer Terrorismus oder organisierte Kriminalität erfolgreich bekämpfen will, der muss letztlich dafür sorgen, dass die Menschen dieser Welt eine Perspektive bekommen.

Mit unserem Diskussionspapier zielen wir vor allem auf die Awareness-Bildung für den Wirtschaftsschutz: Die Unternehmen sollen noch besser als bisher verstehen, dass sie Gefährdungsfaktoren ausgesetzt sind, deren Ursachen und Ausmaß sie nicht oder nur wenig beeinflussen können. Wer heute und in Zukunft Verantwortung in der Wirtschaft trägt, muss mit zunehmend unsicheren Rahmenbedingungen für die Unternehmenstätigkeit rechnen. Doch auch wenn Unternehmenssicherheit untrennbar mit gesellschafts- und sicherheitspolitischen Entwicklungen verknüpft ist, komplett hilflos sind Unternehmen nicht. Sie können durchaus durch eigene Maßnahmen beitragen, um sich gegen die Symptome zu verteidigen und ihre Risiken zu mindern. Bei den Ursachen können sie allenfalls in Ansätzen anpacken.

Wäre das bei der Mehrzahl der ermittelten Risiko-Trends nicht eher Aufgabe des Staates?

Jan Wolter: Wir müssen davon ausgehen, dass diese Entwicklungen für die Unternehmen mit zunehmenden Gefährdungen, neuen Risiken und schwieriger werdenden Rahmenbedingungen verknüpft sind, bei denen auch ein leistungsfähiger Staat, wie Deutschland, nur bedingt Schutz bieten kann. Ohnehin ist Wirtschaftsschutz in unserem Rechtssystem eine gesamtgesellschaftliche Aufgabe, also eine Aufgabe, die bewusst nicht allein den Sicherheitsbehörden überlassen werden soll. Auch für Unternehmen führt daher kein Weg daran vorbei, jetzt konkrete Abwehrstrategien zu entwickeln und umzusetzen. Das heißt aber nicht ,den Staat aus seinen Aufgaben zu entlassen.

Unternehmen denken in der Regel zunächst an ihre Rendite – Aufwendungen für die Unternehmenssicherheit haben da zwangsweise keine Priorität.

Jan Wolter: Wer an der Unternehmenssicherheit spart, spart an der Zukunft seines Unternehmens. Das muss jedem Geschäftsführer, jedem Vorstand klar sein. Die Wirtschaft sollte einen genauen Blick darauf werfen, was gerade in Deutschland los ist. Der Staat hat Jahrelang bei Polizei und Sicherheitsbehörden gespart. Man ist stolz auf die „schwarze Null“. Erkauft wurde das auch mit steigender Kriminalität – wie mehr Wohnungseinbrüchen – und sinkenden Aufklärungsquoten. Das ist in Unternehmen nicht anders. Der Unterschied ist nur: Wenn meinem Unternehmen Ausschreibungsunterlagen oder andere sogenannten Kronjuwelen gestohlen werden, bin ich ruckzuck pleite. Ein Staat ist widerstandsfähiger. Unternehmen müssen daher zumindest in einen gewissen Basisschutz investieren. Alles andere wäre grob fahrlässig.

Was ist mit Basisschutz gemeint?

Jan Wolter: Eine einheitliche Lösung für alle Unternehmen kann es nicht geben. Jedes Unternehmen muss hier seine Schwerpunkte selbst setzen. Schwerpunkte sind wichtig, denn nicht alles kann und muss mit demselben Aufwand geschützt werden. Viele raten dazu, die Top-Unternehmensgeheimnisse zu definieren und entsprechend zu sichern. Das ist im Prinzip richtig. Die Gefahr besteht nur, dass Unternehmer sagen, eigentlich gäbe es nichts streng Geheimes – was in den allermeisten Fällen natürlich Quatsch ist.

Gewisse Anforderungen lassen sich aus der Branche oder dem eigenen Business-Modell ableiten. Wer ein Online-Business betreibt, wird sich vor allem auf die Sicherheit der eigenen Internetplattform und der Kundendaten fokussieren. Ein Automobilproduzent wird vielleicht daran denken, technische Innovationen, Modellpolitik und Marketingpläne vor fremdem Zugriff zu schützen. Ein Pharmaunternehmen wird das Augenmerk dagegen auf den Schutz eigener Forschungsergebnisse und Patente legen. Und ein Versorgungsunternehmen muss vor allem die eigene Infrastruktur vor Sabotage schützen.

Gemeinsam ist aber allen Unternehmen, dass das betriebliche Sicherheitsmanagement jederzeit einen möglichst aktuellen Überblick über die Sicherheitslage und relevante Sicherheitsvorfälle im Unternehmen haben sollte. Nur so kann gezielt analysiert, gegengesteuert und präventiv gehandelt werden. Große oder komplex organisierte Unternehmen benötigen daher auch Kriterien für die Meldepflicht von Sicherheitsereignissen sowie verbindliche Meldewege in Richtung Sicherheitsmanagement. IT-Tools für das Security Incident Management bzw. das Case Management helfen dabei und können Vorfälle nicht nur revisionssicher dokumentieren und analysieren, sondern auch die Maßnahmen zur Gegensteuerung situationsgerecht einleiten und verfolgen. Mit Blick auf Datenschutz, Rechtssicherheit, Compliance sowie effizientem und effektivem Umgang mit knappen internen Ressourcen eine nicht ganz unbedeutende Angelegenheit.

Das sind ja alles keine ganz neuen Vorschläge.

Jan Wolter: Richtig, aber sie sind dennoch angebracht, weil sie noch längst nicht überall umgesetzt sind und ihre Nichtberücksichtigung offene Scheunentore für Angreifer jeder Art bietet. Unsere klare Empfehlung lautet daher: Durch die „Kapselung“ der jeweiligen „Kronjuwelen“ im Unternehmen mit einem Bündel von maßgeschneiderten technischen und nicht technischen Schutzmaßnahmen sowie Sensibilisierungsschulungen für Management und Mitarbeiter wird das Sicherheitsniveau des Unternehmens auch unter Beachtung eines vernünftigen Kosten-Nutzen-Verhältnisses erheblich erhöht. Zudem bietet der ASW Bundesverband den Mitgliedsunternehmen ja auch seine Kompetenz-Center, in deren Sitzungen und Workshops extrem praxisnah über Antworten auf aktuelle Sicherheitsherausforderungen gesprochen wird.

Sie plädieren auch für mehr Offenheit bei Sicherheitsvorfällen. Im Zusammenhang mit dem IT-Sicherheitsgesetz war und sind Transparenzpflichten allerdings umstritten.

Jan Wolter: Einzelkämpfer, selbst wenn große Unternehmen dahinter stehen, werden es schwer haben, die künftigen Sicherheitsherausforderungen zu bestehen. Den Schlüssel zum Erfolg im Wirtschaftsschutz, der auch jedem einzelnen Unternehmen nutzt, sieht der ASW Bundesverband daher im Informationsaustausch und einer engeren Zusammenarbeit zwischen den Akteuren. Das bedeutet nicht zwingend eine Verpflichtung, jedes Detail eines Vorfalls offenzulegen. Wir empfehlen allerdings die gemeinsame Suche nach Best-Practice- Maßnahmen mit anderen Unternehmen und eine innovative Zusammenarbeit mit Instituten und Behörden – nicht nur Sicherheitsbehörden im engeren Sinne. Erst durch den vertrauensvollen Austausch mit anderen nationalen und internationalen Sicherheitsentscheidern wird ja ein umfassendes Sicherheitslagebild erkennbar, mit dem weitere Schwachstellen identifiziert und beseitigt werden können. Daher ist die Vernetzung ein ausschlaggebendes Mittel, um die betriebliche Unternehmenssicherheit, aber auch den nationalen Wirtschaftsschutz auf ein höheres Niveau zu heben.

Ich bin sicher, dass mit Blick auf die absehbaren neuen Herausforderungen für die Unternehmenssicherheit durch Industrie 4.0 und das Internet der Dinge der Austausch über Cybergefahren noch bedeutsamer wird, als er es heute schon ist. Wir fördern deshalb die Entwicklung eines gemeinsamen Sicherheitsverständnisses durch enge Zusammenarbeit zwischen Unternehmen, staatlichen Stellen und Verbänden auch über Landesgrenzen hinaus. So unterstützen wir die Institutionalisierung der Zusammenarbeit für einen nachhaltigen Wirtschaftsschutz, damit alle Beteiligten Zugang zu den entscheidenden Sicherheitsakteuren haben, sei es in der Politik, in den Behörden, der Wirtschaft oder der Wissenschaft. Denn nur ein offener Informationsaustausch und der Zugang zu fundiertem Sicherheitswissen ermöglichen es, eigene Sicherheitsmaßnahmen erfolgreich abzuleiten und umzusetzen.