IT-Datenschutz
4. Dezember 2013
Eine Bewerbung geht in der Personalabteilung ein. Der Absender wirkt authentisch, das Anschreiben höflich und formell. Aber die PDF-Datei im Anhang öffnen? Die meisten würden es tun - und gehen damit ein Sicherheitsrisiko ein. Denn hinter dem vermeintlich harmlosen Anhang kann eine sogenannte 'Malware' stecken, eine bösartige Software, die Daten ausspioniert und unbemerkt an Dritte weitergibt.
Fast jedes deutsche Unternehmen war bereits Opfer einer solchen Cyber-Attacke. Das hat eine aktuelle Studie des Instituts für Demoskopie Allensbach im Auftrag der Deutschen Telekom ergeben. Die Bedrohungs-Szenarien sind vielfältig: Eine Email mit verseuchtem Anhang, ein Angriff auf die Firewall, um sich unbefugt Zutritt zum Hausnetz einer Firma zu beschaffen oder ein zu einfaches Passwort, das mühelos erraten werden kann. Fünfzig Milliarden Euro - so hoch ist die geschätzte Summe, die der deutschen Wirtschaft jährlich durch Web-Spionage entsteht. Dabei dürfte die Dunkelziffer noch viel höher ausfallen, da Firmen, die ausspioniert wurden, häufig davor zurückschrecken, die Behörden zu informieren. Aus Angst vor einem Image-Schaden.
Zwei potentielle Angreifer: Konkurrenzfirmen und Geheimdienste
"Man merkt nicht, wenn man angegriffen wurde. Dabei finden die Angriffe tagtäglich statt." Alexander Jarchows Job ist es, mittelständischen Unternehmen zu erklären, wie wichtig das Thema IT-Sicherheit für sie ist. Er ist Mit-Geschäftsführer von 'Systemhaus for you', einem IT-Dienstleister, der sich auf Sicherheitsfragen spezialisiert hat. "Bisher war das Thema IT vielen Unternehmen eher lästig. Aber seit den NSA-Enthüllungen hat sich das Bewusstsein geschärft." Unternehmen müssen sich gegen zwei mögliche Angreifer schützen: Zum einen gegen konkurrierende Unternehmen, die mittels Spionage zum Beispiel an Patente, Forschungsergebnisse oder Kundendaten kommen wollen. Aber auch ausländische Geheimdienste betreiben in Deutschland Wirtschaftsspionage: "Der deutsche Mittelstand ist in vielen Bereichen sehr aktiv, viele Firmen sind Weltmarktführer", sagt Jarchow. "Damit ist der Mittelstand eine sehr lukrative Zielscheibe."
"Gegen Geheimdienste kann man sich kaum schützen"
Gegen Spionage durch Konkurrenzbetriebe könne man sich gut schützen. Gegen Angriffe durch Geheimdienste allerdings kaum. "Die haben einfach ganz andere Ressourcen", gibt Jörn Müller-Quade zu Bedenken. Müller-Quade ist Professor für IT-Sicherheit am Karlsruher Institut für Technologie. "Wenn wir von Spionage durch Geheimdienste reden, dann haben die auch Zugriff bei den Herstellern Ihres Betriebssystems." In der Praxis könnte das so aussehen: Die Installation bösartiger Software könnte als Update des Betriebssystems getarnt werden. Im Hintergrund laufen dann Programme, die sensible Daten weitergeben. "Dagegen können Sie sich kaum schützen", meint Müller-Quade. Dass der weltweit größte Softwarehersteller Microsoft mit dem US-amerikanischen Geheimdienst, der National Security Agency (NSA), zusammenarbeitet, ist bereits seit 2007 bekannt - als Microsoft öffentlich erklärte, die Sicherheitssoftware für das Betriebsprogramm Windows Vista gemeinsam mit der NSA entwickelt zu haben. Aber erst seit die Ausmaße der Bespitzelung durch die Enthüllungen Edward Snowdens bekannt geworden sind, ist das Sicherheitsrisiko vielen Nutzern bewusst geworden.
Kaum deutsche Lösungen auf die Frage nach IT-Sicherheit
Um sich gegen Webspionage zu schützen, bieten vor allem US-amerikanische Firmen spezielle Software an. Seit bekannt ist, in welchem Umfang der US-amerikanische Geheimdienst auch mit Softwareherstellern zusammenarbeitet, sei das Vertrauen in amerikanische Produkte definitiv gesunken, meint der IT-Professor Müller-Quade. "Ich erwarte auch, dass der Markt sich dadurch verändern wird." Dadurch wird gerade Technik 'Made in Germany' wieder interessant. Doch hierzulande gibt es nur eine Handvoll Firmen, die sich auf die Entwicklung von Sicherheitssoftware spezialisiert haben.
Eine ist die Firma Genua aus München. Sie hat unter anderem die Firewall konzipiert, die die deutsche Bundesregierung gegen Angriffe schützt. "Also es ist jetzt nicht so, dass seit Juni die Telefone bei uns heiß laufen", sagt Magnus Harlander von Genua. "Investitionen in dem Bereich brauchen Zeit." Aber man führe jetzt eine ganz andere Art von Gesprächen. Auch der IT-Dienstleister 'Systemhaus 4 U' aus Hamburg erhält mehr Anfragen, seit die Bespitzelung durch amerikanische und britische Geheimdienste bekannt geworden ist.
"Deutschland muss technische Souveränität zurückgewinnen"
Jörn Müller-Quade ist der Meinung, dass das Thema IT-Sicherheit von der Politik lange verschlafen wurde: "Information ist so etwas Wichtiges ist wie andere Ressourcen. Wir machen uns ja zum Beispiel auch Gedanken, dass wir beim Öl nicht nur von einem Lieferanten abhängig sein sollten.“ Inzwischen wird das Thema auch in Berlin diskutiert: Bei den Koalitionsgesprächen zwischen CDU/CSU und der SPD stand auch das Thema IT-Sicherheit auf der Agenda. Dabei einigten sich Vertreter von SPD und Union auf eine Meldepflicht für Unternehmen, die Opfer eines Cyber-Angriffs geworden sind. Die Spitzenverbände der deutschen Wirtschaft lehnen dies vehement ab.
Sowieso sieht Jörn Müller-Quade das größte Problem in der Abhängigkeit von US-amerikanischen Herstellern: "Dass Information mal so entscheidend unsere Wirtschaft steuern und beeinflussen wird, das hat man lange nicht abgesehen. Jetzt ist es an der Zeit sich Gedanken zu machen, wie man mittel- und langfristig die technische Souveränität zurückgewinnt."