Die Anschläge in Paris und Istanbul zeigen unsere Verwundbarkeit ­gegenüber dem Terror. Das betrifft in besonderem Maße auch Wirtschaftsunternehmen. Der ASW Bundesverband, Allianz für Sicherheit in der Wirtschaft, leistet als Dachverband zusammen mit BND, BKA, BfV, BBK, BSI und vielen weiteren Behörden und Verbänden mit spezialisierten Kompetenz-Centern und Arbeitskreisen auf vielfältige Weise Präventionsarbeit. Mit seinen 13 Verbandmitgliedern repräsentiert er rund 2000 Unternehmen. Matthias Erler von GIT SICHERHEIT sprach mit dessen Vorstandsvorsitzenden ­Volker Wagner über die aktuelle ­Gefährdungslage in der deutschen Wirtschaft sowie über Möglich­keiten der Prävention.

GIT SICHERHEIT: Herr Wagner, wir verfügen heute über High-tech-Perimeterschutz, moderne Videokameras liefern bei jedem Wetter und zu jeder Tageszeit exquisite Bilder live und in Farbe. Intelligente Videotechnik, höchst ausdifferenzierbare Zutrittssteuerung – dazu kommt die ständige Verbesserung der IT-Sicherheit. Aber die digitalisierte Welt ist auch verwundbar. Man hat manchmal den Eindruck, Hacker seien die marodierenden Wikinger unserer Zeit. Wie ernst ist die Lage für die deutsche Wirtschaft wirklich?

Volker Wagner: Es lässt sich jedenfalls beobachten, dass unsere Unternehmen und Behörden durch die Bank immer mehr Anstrengungen unternehmen – die Abwehr wird stärker. Dazu tragen der Einsatz neuer Technologien sowie die bessere Zusammenarbeit von Staat und Wirtschaft bei. Um Ihre Frage aber direkt zu beantworten: Die Angriffsformen werden zunehmend komplexer, innovativer und globaler. Das führt dazu, dass die Schere zwischen Angriff und Abwehr immer weiter auseinander geht. Wir haben es also mit zwei Kurven zu tun, die zwar beide ansteigen, von denen aber die Angriffskurve schneller ist. Mit anderen Worten, die Bedrohung nimmt zu.

Cyber-Crime geht auch von Terroristen und Extremisten verschiedener Provenienz aus – wie hoch schätzen Sie Gefahren aus dieser Ecke ein?

Volker Wagner: Wir sehen eine Konvergenz von realen und Cyber-Angriffen. Cyber-Angriffe kommen verstärkt aus China, Russland und den sogenannten Failed States, aus Krisengebieten aus dem arabischen Raum, aber auch etwa aus der Ukraine. Dort sind Rückzugsgebiete für Terroristen entstanden – und eben auch für Cyberangreifer. Letztere sind oft dadurch begünstigt, dass die Polizei in Zeiten des Bürgerkriegs anderes zu tun hat, als Hacker zu jagen. So vermischen sich die Sicherheitsthemen des klassischen Diebstahls von Waren und dem von Informationen, beides geht inzwischen miteinander einher. Die Angriffe gehen vielfach von solchen ungestörten Rückzugsräumen aus – allerdings bedarf es häufig auch eines korrespondierenden Innentäters innerhalb des Unternehmens. Reine IT reicht oft nicht aus. Man braucht jemanden, der dem Angreifer Zugang verschafft. So kann beispielsweise ein Systemadministrator Passwörter herausgeben. Erpressung oder Betrug per Email ist eine andere Methode.

Welche Motive bewegen die Täter nach Ihren Erkenntnissen?

Volker Wagner: Motivation für Terror speist sich zum einen aus ganz unterschiedlichen Quellen, etwa islamistischer oder rechtspopulistischer Natur. Unternehmen oder Behörden könnten von rechtsextremistisch motivierten Tätern beispielsweise dann angegriffen werden, wenn sie Flüchtlingsheime mittelbar unterstützen. So stellt die Telekom z.B. kostenloses W-LAN für solche Unterkünfte zur Verfügung. Abgesehen davon haben 80 Prozent der Hacker aber schlicht eine finanzielle Agenda – sie wollen hauptsächlich Geld von Unternehmen, Kunden und teils auch vom Staat. Die Vorgehensweise ist heute zunehmend arbeitsteilig organisiert in Form einer ausdifferenzierten elektronischen Marktkette.

Wie hat man sich das genau vorzustellen?

Volker Wagner: Es gibt in dieser Sparte des organisierten Verbrechens zunächst einmal Programmierer, die den Schad-Code erstellen. Nehmen wir Microsoft Windows als Beispiel. Hier haben wir es mit rund 50 Millionen Programmzeilen zu tun, von denen nach einer Faustregel etwa 2 Prozent fehlerhaft programmiert sind. Das kommt daher, dass viele Programmierer an solchen Produkten beteiligt sind, teils Bestandteile zugekauft werden, etc. Diese potentiellen Schwachstellen werden regelmäßig aufgedeckt und veröffentlicht, daraufhin werden entsprechende Software-Patches für Updates herausgebracht. Dieses wiederum wird nun nicht von allen Nutzern sofort installiert – das ist die Gelegenheit des Hackers, auch „Zero Day Exploit“ genannt, also die Ausnutzung der Stunde Null bis zum Einspielen des Patchs. Schnelles Updaten der Software ist deshalb schon mal ein guter Rat für jedes Unternehmen. Die Programmierer arbeiten oft in Ländern wie Russland, wo es eine traditionell hervorragende mathematische Ausbildung, es beim Staat oder in der Wirtschaft aber wenig zu verdienen gibt.

Das sind also die Programmierer – und wer gehört sonst zu diesem fragwürdigen Geschäftsmodell...?

Volker Wagner: Es folgen die Betreiber der elektronischen Marktplätze für Schadcode sowie – drittens – die sogenannten Botnet-Betreiber. Diese wissen, welche Rechner ungeschützt sind. Wiederum Andere führen die Angriffe an sich durch. Die Fünften kassieren: Sie sind sogenannte „Mulis“, die für wenig Geld bereit sind, ihr Girokonto zur Verfügung zu stellen. Mit geringem Abzug leiten sie das Geld weiter. Bei dieser Arbeitsteilung muss man also nicht selbst programmieren können – dadurch ist das Geschäft sehr schnell geworden. Oft ist die Erpressung das Mittel der Wahl – Mitarbeiter von Unternehmen werden zur Teilnahme verleitet. Dabei drohen die Angreifer mit Lahmlegung der Homepage durch Botnet-Angriffe, die so viele Anfragen auf die betreffende Seite lenken, dass diese zusammenbricht. Es gibt aber auch die eben angesprochenen Extremisten und Terroristen wie IS oder Al Qaida, die solche Mittel für ihre Propaganda und Rekrutierung nutzen.

Wie erfährt ein Unternehmen, dass aus der abstrakten, und daher für manchen eher diffus erscheinende Gefahr des Terrorismus und Extremismus eine konkrete Gefahr für sich selbst wird?

Volker Wagner: Zunächst einmal gibt es regelmäßig aktuelle Informationen von den Sicherheitsbehörden. So teilt es das Bundesamt für Verfassungsschutz mit, wenn bestimmte Unternehmen in einem Blog als Kriegsunterstützer gebrandmarkt werden. Aber oft erhält ein Unternehmen gleich direkt Drohbriefe, -Emails und -Anrufe. So gibt es beispielsweise extremistische Bedrohungen gegendie Deutsche Post DHL mit der Begründung, dass über ihre Logistik Waffen in Einsatzgebiete der Bundeswehr geliefert werden. Aktuell kommt noch folgendes dazu: Wir wissen, dass rund 700 Deutsche nach Syrien und in den Irak gereist sind, um sich dort in Terrorcamps ausbilden zu lassen.

Das sind natürlich auch Mitarbeiter von Unternehmen...

Volker Wagner: Richtig. Davon erfahren Unternehmen beispielsweise dadurch, dass Mitarbeiter nicht pünktlich aus dem Urlaub zurückkommen. Nachforschungen etwa über deren Posts in sozialen Medien oder Äußerungen gegenüber Dritten machen dann klar: Der Mann ist in einem Terrorcamp. Was ist von ihm zu erwarten, wenn er wieder zurück kommt? Auch Sicherheitsbehörden erfahren von solchen Terrorcamp-Ausreisen und informieren dann das betreffende Unternehmen. Viele Firmen sind außerdem mit vielen Mitarbeitern beispielsweise in der arabischen Welt tätig. Dadurch ergeben sich unter Umständen besondere Bedrohungslagen.

Lassen Sie uns einmal die Perspektive der Unternehmen, insbesondere die des unsere Wirtschaft so prägenden Mittelständlers, einnehmen. Wo sehen Sie dessen hauptsächliche Schwachstellen?

Volker Wagner: Teilweise fehlt immer noch das nötige Bewusstsein der Gefährdung – das gilt allerdings auch für Großunternehmen. Während letztere meist eine ganze Abteilung für Sicherheitsfragen unterhalten, gibt es im mittelständischen Unternehmen meist nur einen einzigen Sicherheitsverantwortlichen. Der kümmert sich gleichzeitig aber auch um ganz andere Themen wie beispielsweise den Arbeitsschutz. Bedrohungen von außen sind für ihn nur ein Thema von vielen. Auch wenn Pauschalierungen schwierig sind, bleibt die Tatsache, dass es vielfach an fachlichem Know-how fehlt. Großunternehmen mit ihren Sicherheitsabteilungen fühlen sich wiederum oft allzu sicher. Schließlich arbeiten sie in hohem Maße mit mittelständischen Zulieferern zusammen. Die Bestandteile des VW-Golfs kommen beispielsweise zu 75 Prozent von Zulieferern. Dieses Outsourcing bringt folglich Gefahren von außen.

Hier setzt ja teils die Arbeit der ASW und ihrer Mitgliedsverbände an?

Volker Wagner: Das ist für mich sogar eine der Hauptmotivationen. In unserer so arbeitsteilig strukturierten Wirtschaft ist es unmöglich, dass große und mittelständische Unternehmen, die in Einkauf, Produktion, Vertrieb, etc. so eng mit einander verknüpft sind, sich jeweils individuell schützen. Auch ein Großunternehmen kann sich nicht alleine schützen. Deshalb müssen wir dafür sorgen, dass vor allem auch der Mittelstand sicherheitstechnisch insgesamt auf ein höheres Niveau gebracht wird. Natürlich kann man mittelständische Unternehmen nicht den gleichen Standards unterwerfen – etwa im Software- oder Compliance-Bereich – das wäre eine Überforderung.

Welchen Beitrag leistet der ASW-Bundesverband in diesem Zusammenhang?

Volker Wagner: Wir sehen uns zum einen als Schnittstelle zwischen Bundesregierung, Sicherheitsbehörden und Wirtschaft. Eines der wichtigsten Projekte derzeit ist unsere aktive Mitarbeit an der Nationalen Wirtschaftsschutzstrategie, die 2013 beschlossen wurde und - unter Federführung des Bundesinnenministeriums - das Know-how und die Innovationsfähigkeit deutscher Unternehmen effektiv gegen Wirtschaftsspionage und Wirtschaftskriminalität schützen soll. Es ist das erste Mal, dass in einem Regierungsprogramm – hier im Koalitionsvertrag – der Schutz der Wirtschaft als Regierungsauftrag formuliert worden ist. Zum Ende des ersten Quartals 2016 werden die Ergebnisse der Projektarbeit vorgestellt werden. Im Übrigen informieren wir über Prävention, tragen zur Aufklärung über Sicherheitsfragen bei und zur Schärfung des Problembewusstseins, verbreiten entsprechende Behördeninformationen. Wir veranstalten Schulungen, bieten Leitfäden zum Download an. Auf unser Experten-Plattform bieten wir im Rahmen unserer Kompetenzzentren einen intensiven Austausch mit Fachexperten an. Unser Leitfäden zum Download bieten zu einzelnen Themen konkrete Lösungen – das sind beispielsweise Handreichungen zu internen Ermittlungen, Reisesicherheit, personelle Sicherheit, etc.

Sie arbeiten ja eng mit den Sicherheitsbehörden zusammen – unter anderem mit dem Bundesamt für Verfassungsschutz?  

Volker Wagner: Das Bundesamt für Verfassungsschutz ist mit seinem Ressort für Wirtschafts-Schutz einer unserer wichtigsten Ansprechpartner. Wir machen in diesem Jahr bereits unsere zehnte gemeinsam Veranstaltung zum Thema Prävention. Ebenfalls erwähnenswert ist übrigens das Projekt „Wisper“, an dem wir mit unserem Projektpartner HiSolutions arbeiten. Dabei geht es um den Aufbau eines Grundschutzhandbuchs für Unternehmen gegen Spionage, Sabotage und Organisierte Kriminalität. Hier haben wir nicht die IT, sondern personelle, prozessuale, organisatorische und allgemein technische Maßnahmen für den Wirtschaftsschutz im Auge.

Der Projekt-Kalender für 2016 dürfte also prall gefüllt sein.

Volker Wagner: Es gibt in der Tat sehr viel zu tun. Gerade in diesen Tagen liest man in den Medien beispielsweise, dass nach Einschätzung des Bundesnachrichtendienstes etwa die Gefahr, die von islamistischem Terror ausgeht, für Deutschland und Europa insgesamt noch nie so groß war wie heute. Die Anschläge in Paris stecken uns noch allen in den Knochen. Ich hatte die kleine Konzerthalle Bataclan dort vor kurzem besucht – das ist schon sehr nahe gegangen: Alles ist voller Blumengedecke, Gitarren und anderen Instrumenten zum Gedenken an das dort Vorgefallene. Hier sieht man, dass der Terror die ganze Gesellschaft betrifft – und damit auch die Wirtschaft.