Den Teufelskreis durchbrechen

PROTECTOR: „Das Problem Wirtschafts-spionage wird nach wie vor unterschätzt“ – das ist die Kernaussage eines Interviews, das Sie uns vor längerer Zeit einmal gegeben haben. Scheint aktuell wie nie zu sein, oder?

Michael George: Das stimmt, Wirtschaftsspionage ist nach wie vor ein top-aktuelles Thema. Gerade durch die Enthüllungen des ehemaligen NSA-Mitarbeiters Snowden wird das Thema IT-Sicherheit aber plötzlich viel intensiver diskutiert und damit die Sensibilität vor gezielter Ausspähung erhöht.

Dann hat Sie die Aufdeckung des Prism-Skandals nicht wirklich überrascht?

Einerseits ja, anderseits auch wieder nicht. Viele Unternehmer und Privatpersonen fragen bei Vorträgen zum Thema Wirtschaftsspionage nach den Überwachungsmaßnahmen der Amerikaner, und das nicht erst seit den Enthüllungen von Edward Snowden.

Es gab sogar Hollywood-Filme, die die technischen Möglichkeiten der NSA zum Thema hatten.

Was raten Sie Unternehmen, die Angst davor haben, dass sie vielleicht aktuell von der Ausspähung betroffen sein könnten?

Amerika betont ja immer wieder, mit den erhobenen Daten keine Wirtschaftsspionage zu betreiben, was nun sogar in einem zu unterschreibenden Abkommen nach außen hin sichtbar werden wird. Allerdings konkretisiert der derzeitige „Skandal“ nur ein generelles Problem, nämlich die Gefahr, Daten ungewollt aus der Hand zu geben. Das vordringlichste Problem ist demnach, überhaupt einen Datenabfluss zu verhindern, egal ob durch Nachrichtendienste, die Konkurrenz oder durch einen unachtsamen Mitarbeiter.

Wir raten Unternehmen zu gezielten Maßnahmen wie beispielsweise Verschlüsselung, Netzwerksegmentierung, Mitarbeiterschulung und bei der Produktauswahl Sicherheitsthemen zu berücksichtigen. Dies erfordert jedoch seitens der Unternehmen ein ganzheitliches Schutzkonzept, zu dem auch eine Klassifizierung vorhandener Betriebsinformationen gehört.

Wenn die IT-Abteilung nicht weiß, welche Daten kritisch sind, kann sie diese auch nicht gezielt schützen. Das gleiche gilt natürlich für Mitarbeiter.

Zufällig zeitgleich zu dem Skandal gibt es seit dem 1. Juli in Bayern das „Cyber-Allianz-Zentrum“, das Sie leiten. Wann und wie ist die Idee dazu gereift?

In den letzten Jahren haben wir einen signifikanten Anstieg von Cyberangriffen auf Behörden festgestellt. Diese Erkenntnisse haben das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik aus der Beobachtung der Regierungsnetzwerke gewonnen.

Weit über 90 Prozent der deutschen Netze sind allerdings in privatwirtschaftlicher Hand, dort sind wir auf die Informationen angewiesen, die wir aus den Wirtschaftsunternehmen erhalten, um ein griffiges Lagebild zu erhalten. Unternehmen tun sich wiederum schwer, über ITSicherheitsvorfälle offen zu sprechen.

Dadurch entsteht ein Teufelskreis. Der Staat kann nicht die richtigen Maßnahmen treffen, da er kein Lagebild erstellen kann, und Unternehmen können nicht vor den Angriffen gewarnt werden, weil niemand darüber spricht. Dieses Dilemma wollen wir mit dem Cyber-Allianz-Zentrum (CAZ) Bayern durchbrechen.

Als Nachrichtendienst haben wir die Möglichkeit, Vorfälle auf Wunsch der Unternehmen absolut vertraulich zu behandeln, und geben Sachverhalte nach Absprache an die Polizei weiter. Überhaupt wissen viele Unternehmen nicht so recht, an wen sie sich mit einem Vorfall wenden sollen. Mit der Schaffung eines zentralen Ansprechpartners hat die Landesregierung Transparenz für die Unternehmen geschaffen – ein weiterer wichtiger Punkt.

Das wahrscheinlich wichtigste Angebot an die Wirtschaft ist eine Rückmeldung über die Vorfälle. Das bedeutet, wir informieren andere potentiell betroffene Unternehmen und reichen Indizien weiter, die helfen können, derartige Vorfälle zu erkennen, anonymisiert versteht sich.

So wird das Cyber-Allianz-Zentrum Bayern zu einem vertraulichen „Informationsbroker“, ein Wunsch, der vielfach von Unternehmen geäußert wurde. Dass die Gründung genau in die Zeit der Veröffentlichungen des ehemaligen NSA-Mitarbeiters fallen, ist allerdings ein Zufall, kommt aber vielleicht zum richtigen Zeitpunkt.

Auf Bundesebene gibt es bereits die „Allianz für Cyber-Sicherheit“. Ist das nicht „doppelt“?

Nein, gar nicht. Zum einen war es für Bayern wichtig, keine Parallelstrukturen zu schaffen. Im Gegenteil, wir integrieren uns in die bestehende Sicherheitsarchitektur und ergänzen diese um einen wichtigen Faktor, nämlich vor Ort zu wirken. Nur durch persönliche langjährige Kontakte entsteht jenes Vertrauensverhältnis, das zum Austausch solch sensibler Informationen nötig ist.

Die positiven Erfahrungen und das Vertrauensverhältnis zu den Unternehmen, die wir in den letzten Jahren im Bereich Wirtschaftsschutz sammeln konnten, nutzen wir unmittelbar für das Cyber-Allianz-Zentrum. Wir arbeiten Hand in Hand mit dem Bereich Wirtschaftsschutz. Zudem sind wir selbstverständlich Partner der Nationalen Allianz für Cybersicherheit.

Gibt es schon erste Erfahrungen? Mit welcher Fragestellung wenden sich Unternehmen überwiegend an das CAZ?

Das ist sehr unterschiedlich. Das reicht von Spearfishing-Angriffen über gezielte Trojaner-Angriffe bis zum Hacken von Webapplikationen. Wir helfen Unternehmen in der Beurteilung der Bedrohung und versuchen, mit Threat-Intelligence hinter die Angriffe zu blicken.

Unternehmen wenden sich aber auch mit „herkömmlichen“ Themen an uns. Wir helfen, wo wir können, und vermitteln im „schlechtesten“ Fall die richtigen Ansprechpartner.

Welche Maßnahmen halten Sie für die geeignetsten im Kampf gegen Wirtschaftsspionage? Vermissen Sie etwas an gesetzlichen Grundlagen?

Was wir dringend bräuchten, wäre ein ITSicherheitsgesetz, in dem die Einhaltung bestimmter Mindeststandards geregelt wird. Eine Meldepflicht von IT-Sicherheitsvorfällen für bestimmte Bereiche wird dagegen von vielen Beteiligten eher kritisch gesehen.

Stichwort kritisch: Die kritischen Infrastrukturen rücken aufgrund ihrer „Störanfälligkeit“ immer stärker in den Blick der Öffentlichkeit. Was ist solchen Unternehmen – Energieversorgern, ÖPNV-Betreibern oder auch Banken – besonders zu empfehlen?

Sie haben Recht. IT-Sicherheit ist mittlerweile nicht mehr ausschließlich etwas für Büroanwendungen, sondern durchdringt mit all ihren Steuerungen unseren Alltag. Maschinen und Geräte werden immer öfter an das Internet angeschlossen, und zunehmend werden wir immer abhängiger von ihnen.

Das Internet ist damit längst selbst zur kritischen Infrastruktur geworden. Konsequenterweise sind wir vom Cyber-Allianz-Zentrum Bayern deshalb nicht nur für die Spionageabwehr elektronischer Angriffe auf die Wirtschaft, sondern auch für Angriffe auf die Betreiber kritischer Infrastruktur zuständig.

Mein Rat: Netzwerke bilden! Gerne mit unserer Hilfe. Damit meine ich ausnahmsweise nicht die IT, sondern den persönlichen Austausch von Angesicht zu Angesicht. Einzelspieler haben in dieser komplexen Gesamtsituation kaum eine Chance, die Gefahren zu erkennen und ihnen zu begegnen.

Wagen Sie eine Prognose: Wird sich das Problem Wirtschftsspionage mittel- bis langfristig von selbst erledigen oder werden wir auch künftig darüber berichten müssen?

Ich hoffe, dass unser Land seine Innovationskraft erhält, denn dies ist unser größter Rohstoff und garantiert Wohlstand, soziale und politische Stabilität. Allerdings führt dies unweigerlich auch weiterhin im internationalen Wettbewerb zu Begehrlichkeiten aus dem Ausland und damit zu Versuchen der Wirtschaftsspionage, die wir weiterhin abwehren werden müssen.

Gerade deshalb ist es so wichtig, die Themen Cybersicherheit und Wirtschaftsschutz weiter voranzutreiben.

Annabelle Schott-Lung