Schieflage

Die aktuelle Debatte um Wirtschaftsspionage hat aus meiner Sicht eine systematische Schieflage. Bei aller berechtigten Kritik, dass unsere Staatsorgane insgesamt mehr zum Schutz deutscher Unternehmen gegen Ausspähung tun sollten und Datenschutzziele innerhalb der EU insgesamt vorangetrieben werden müssen, liegt es doch auf der Hand, dass Entscheidungsträger auf der operativen Ebene internationaler Politik es immer wieder mit Zielkonflikten zu tun haben werden, die auszutarieren sind. Das erfordert realpolitische Kompromisse und führt absehbar auch mal zu Ergebnissen, die nicht allen nationalen und EU-Interessen vollständig Rechnung tragen können.

Umso interessanter ist es, dass in den Medien nun plötzlich von einem Vertrauensbruch zwischen Staat und deutscher Wirtschaft die Rede ist und wirtschaftliche Interessenvertreter empört umfassende Aufklärung von der Bundesregierung verlangen. Gerade so, als sei Wirtschaftsspionage - auch durch befreundete Staaten - ein plötzlich und überraschend aus dem Untergrund aufgetauchtes Phänomen. In der Aufregung einiger Interviews ist ferner die Einstellung erkennbar, es primär Aufgabe der Bundesregierung, dafür zu sorgen, dass Wirtschaftsspionage unterbleibe, nicht wirksam werde oder zumindest an den Landesgrenzen halt mache. Dazu passt, dass laut aktueller Umfrage der Bitkom nur etwa die Hälfte der deutschen Unternehmen ein Notfallmanagement bei digitaler Wirtschaftsspionage, Sabotage und Datendiebstahl definiert haben. Ob das Notfallmanagement denn auch wirksam wäre, ist damit noch gar nicht gesagt.

Natürlich darf und sollten Staatsorgane nicht ohne Not zum Ausspionieren der eigenen nationalen Unternehmen beitragen. Aber in welchem Staat sind den aktive Unternehmen (wie etwa der EADS-Konzern) in einer globalen Welt - sprich auf einem globalen Markt - heute noch wirklich beheimatet? Wenn man sich außerhalb der eigenen Landesgrenzen in gefährliche Fahrwasser begibt, muss man Vorsorge treffen - als Tourist wie als Unternehmer. Und da freie Wirtschaft heute mit globalem Konkurrenzkampf gleichzusetzen ist, kann man als Firmenchef im Umfeld schneller und zum Teil revolutionärer technischer Innovationen kaum hoffen, dass die Konkurrenten keine große Anstrengungen unternehmen würden, um das entsprechende Know-How der eigenen Firma abzuschöpfen.

Hatten uns nicht gerade Wirtschaftsunternehmen in den letzten 2 Jahrzehnten systematisch eingebläut, dass man sich in einer globalisierten Welt zu behaupten habe? Dann muss man als Unternehmer, der auf dem globalen Markt selbst mit harten Bandagen kämpft, aber auch wahrnehmen, dass eine globalisierte Welt eben nicht nur Chancen bietet, sondern auch viele Risiken birgt - vor allem in einem auf globaler Ebene praktisch rechtsfreien Raum, in dem wir uns alle zunehmend bewegen und der in gewisser Hinsicht die fundamentale Basis der Globalisierung selbst darstellt - nämlich dem Internet. Das kennt keine Landesgrenzen. Jeder Administrator, der einen exponierten Server im deutschen Bereich des Internets schützen muss, weiß davon ein langes Lied zu singen. Das gefährliche Fahrwasser beginnt im Internet vor der eigenen Haustür.

Wirtschaftsspionage gab es schon vor dem Internet, auf globaler wie nationaler Ebene. Dass Wirtschaftsspione - egal welcher Coleur und egal aus welchem staatlichen oder nichtstaatlichen Kontext - heute alle verfügbaren neuen, elektronischen und globalen Medien auf dem aktuellsten Stand der technischen Möglichkeiten nutzen, kann niemanden ernsthaft verwundern. Das Problem ist, das man als betroffenes Unternehmen die Bedeutung dessen, was eine Nutzung aktueller Technologie für illegale Angriffe bedeutet, meist erst dann einzuschätzen lernt, wenn es zu spät ist. Denen, die meinen, dass die exponentiell wachsenden Datenmengen, die es landesweit theoretisch zu durchforsten gilt, die Effektivität der Informationsabgreifer quasi auf natürliche Weise begrenzen würden, sei gesagt: Das gilt schon seit Längerem nicht mehr, im besonderen dann nicht, wenn bestimmte wirtschaftliche mit staatlichen Interessen verflochten sind.

Hinzu kommt: Sonst ist in den von Wirtschaftsunternehmen geführten Diskussionen doch auch - und nicht ganz zu Unrecht - zu hören, dass der Staat meist der Falsche sei, um wirtschaftliche Interessen in der Praxis wahrzunehmen. Warum sollte dies auf dem Sektor der IT- und Informationssicherheit nun grundlegend anders sein?

Jeder gute Firmenchef unserer innovativen deutschen Firmen - gerade im Mittelstand - sollte sich aus meiner Sicht folgende Dinge ganz klar machen:

Wirtschaftsspionage und Bedrohungen des Know-Hows wie der IT-Sicherheit im Unternehmen wird es immer geben (mit und ohne Beteiligung von Behörden irgendwelcher Staaten). Hinzu kommt:

  • Die technischen Strukturen des heutigen Internets mit seinen zentralen Hauptknoten und internationalen Kabelverbindungen,
  • die zunehmende faktische Abhängigkeit der Unternehmen von elektronischen Diensten, die von global operierenden Unternehmen angeboten werden, und damit keiner national-rechtlichen Kontrolle unterliegen,
  • die zunehmende Nutzung angeblich günstiger SW-Angebote, die auf webbasierten Abonnements oder SaaS beruhen,
  • die zunehmende Komplexität vernetzter IT und ein potentieller Verlust an Kontrolle durch Outsourcing und Cloud-Computing
  • die zunehmend willentlich gesuchte und hinsichtlich der Datenpreisgabe ungehemmte Präsenz der Angestellten als Bürger in digitalen Netzwerken,
  • eine oft anzutreffende Naivität von Bürgern wie Unternehmern, dass man ja nichts zu verbergen habe
  • und die geradezu fahrlässigen Versäumnisse vieler Firmen (vor allem im Mittelstand) bzgl. ihrer IT-Sicherheit und generell ihres Informations Security wie Risk Managements

laden zur elektronischen Spionage auf verschiedenen Ebenen und mit verschiedenen Ansätzen sowie auch zum Social Hacking geradezu ein.

Wegen konkurrierender Ziele stehen Staatsorgane immer in schwer zu lösenden Interessenkonflikten. Das muss man nüchtern zur Kenntnis nehmen. Man sollte große Lösungen auf Ebene des eigenen Staates daher zwar fördern und fordern, aber nicht abwarten - die technologischen Möglichkeiten entwickeln sich im Guten wie Schlechten viel schneller als Gesetze. Der Staat wird immer nur verbesserte Rahmenbedingungen anbieten können, nicht aber konkrete Schutzaufgaben bzgl. der IT von Unternehmen übernehmen können. Hinzu kommt die unterschiedliche Rechtslage in vielen Ländern selbst innerhalb der EU. Den wirklich "Bösen" im Netz ist zudem das nationale Recht entweder sowieso egal oder sie nutzen die unterschiedlichen Bedingungen eben aus.

Versäumnisse von Unternehmen bei den erforderlichen Investments in IT- und Informations-Sicherheit rächen sich in einer solchen Gemengelage früher oder später. Ich frage mich angesichts entsprechender Zeitungsmeldungen der letzten Tage: Wie kann es eigentlich sein, dass die deutsche Wirtschaft und auch Teile der öffentlichen Verwaltung erst jetzt angesichts aktueller, durchaus berechtigter EU-Anforderungen feststellen, dass Informationssicherheit richtig Geld kostet? Die Rede ist in der Fläche von Milliarden - ich sehe hierin auch akkumulierte Versäumnisse aus der Vergangenheit.

Wo muss Aufklärung zur elektronischen Wirtschaftsspionage also eigentlich ansetzen? Meiner Ansicht nach eben nicht nur im Kanzleramt und parlamentarischen Untersuchungsausschüssen :

Aufklärung im Sinne der Zustandserfassung und auch der Vorbeugung muss vor allem in den Unternehmen, die sich aktuell durch die aufzuklärenden Aktionen von NSA und BND potentiell betroffen fühlen, geleistet werden.

An Warnungen hat es in den letzten Jahren nun wirklich nicht gemangelt. Wer jetzt von Wirtschaftsseite oder als potentiell betroffener Unternehmer aufschreit, muss sich auch an die eigene Nase fassen:

Wo sind denn die firmeneigenen Risiko-Analysen und Risikobewertungen? Wo stehen wir bei der Umsetzung entsprechender Maßnahmen? Wo sind die Ergebnisse regelmäßiger Penetrationstests? Was ist eigentlich das Ergebnis einer Analyse unserer Server-Logs, speziell unser exponierten Server und jenen bei unseren Providern? Wer interessiert sich da draußen eigentlich für das, was auf unseren Systemen liegt? Sind bestimmte Angriffsmuster erkennbar? Was wurde auf organisatorischer, technischer und physikalischer Ebene getan, um der Bedrohungslage gerecht zu werden? Was haben wir an Fortbildungsmaßnahmen für unsere Mitarbeiter im Bereich der IT-Sicherheit geleistet? was verstehen unsere Mitarbeiter eigentlich unter "Social Hacking?" Setzen wir eigentlich starke Verschlüsselung in der internen und externen elektronischen Kommunikation über unsere zentralen Technologie- und Know-How-Assets ein? Wenn nein, warum eigentlich nicht? Nutzen wir im Daten- und E-Mail-Austausch mit unseren Kunden und Partnern Verschlüsselungstechnologie? Bieten wir unseren Kunden und Partner hierfür ein einfach zu nutzendes PKI-Modell an? Usw., usw. ...

Wenn Sie als Unternehmer auf diese Fragen keine Antwort geben können oder von Zuständigen in Ihrem Unternehmen keine überzeugende Antwort erhalten, sollten Sie sich über ganz andere Dinge aufregen als den BND oder die NSA. Die Sicherheit der eigenen Technologie-Plattformen und vor allem der dort lagernden innovativen Information ist viel zu wichtig und zu wertvoll, um auf große Lösungen seitens des Staates zu warten oder darauf zu vertrauen, dass es im Umfeld internationaler (Geheim-) Dienste schon nicht zu Interessenkonflikten kommen wird.

Fazit: Aufklärung ist gut - aber nicht nur im Bundeskanzleramt sondern vor allem im eigenen Unternehmen !

Aus Sicht eines IT-Beraters kann ich nur sagen: Sinnvolle Verfahrensansätze für ein Informationssicherheitsmanagement gibt es. Und man kann etwa die Vorgaben einer ISO 27001 oder des BSI-Grundschutzes Zug um Zug umsetzen, ohne gleich eine teure Zertifizierung anzugehen. Auch wenn man hundertprozentige Sicherheit nicht erreichen kann - die Chance zur systematischen Verbesserung des eigenen Schutzniveaus sollte man wahrnehmen. Deshalb gilt auch, dass eine Erfassung, Analyse und Bewertung von Risiken im Bereich der Informationssicherheit ein verbindliches Element der IT-Governance im eigenen Unternehmen sein sollte.

Und angesichts der trotz aller Globalisierung offenkundig bestehenden Interessenskonflikte zwischen globalen Wirtschaftsräumen sollten wir alle mal dringend darüber nachdenken, wieso es eigentlich zu dieser immensen Abhängigkeit Europas von IT-Technologieunternehmen außerhalb des europäischen Raumes gekommen ist und warum wir keine systematischen, von der EU geförderten Schritte unternehmen, daran etwas zu ändern. Das ist ein Punkt, den man wirklich von der Politik einfordern sollte.