"IT-Sicherheit ist keine Unternehmenssicherheit"

Sie vertreten die Auffassung, dass die BRD zu den Spionagezielen schlechthin gehört. Warum ausgerechnet Deutschland?
Die Bundesrepublik steht bei ihrer Wirtschaftskraft und Innovationsfähigkeit weltweit mit an der Spitze und zwar quer durch alle Branchen.  Wir sind zudem ein reiches Land, in dem viel Kapital unterwegs ist. Also ein lohnendes Ziel für Spione und kriminelle Geschäftemacher. Wer steckt dahinter?
Das Feld der Angreifer ist sehr breit gefächert. Im professionellen Spektrum sprechen wir von Wirtschaftsspionage mit nachrichtendienstlichem Hintergrund, Industriespionage  durch Wirtschaftsunternehmen. Dabei geht es in erster Linie um Informationen, Produkte und Innovationen. Die organisierte Kriminalität, linksextremistische Kräfte und ein nicht zu unterschätzender Kreis von Einzeltätern vervollständigen das Feld. Welche Länder sind involviert?
Das möchte ich an dieser Stelle nicht konkret sagen. Die verschiedenen Kriminalitätsdelikte haben unterschiedliche Länderbezüge. Schwerpunktregionen sind jedoch Asien und Osteuropa. Welcher Methoden bedienen sich die Angreifer?
In erster Linie richten sich professionelle Angriffe nicht sofort auf die IT-Infrastruktur, sondern auf den Menschen, also den Mitarbeiter. Wir sprechen in dem Zusammenhang vom Social Engineering. Trainees, Praktikanten oder wissenschaftliche Mitarbeiter werden in der Nähe von Schlüsselpositionen platziert, manchmal auch erst im Nachgang umgedreht. Die private und dienstliche Kommunikation der Mitarbeiter, Messen und Geschäftsreisen sind einige Gelegenheiten, die genutzt werden, um an relevante Informationen unbemerkt zu gelangen. Also nichts mit Computern und Hackern?
In der Regel ist das der letzte Schritt. Dem Abfluss von Informationen aus der IT-Architektur des Unternehmens gehen eben eine ganze Reihe von Vorbereitungsmaßnahmen und Angriffen voraus, oftmals leider unbemerkt. Wir haben von einigen Spionagezielen in der Zeitung gelesen. Wann wird ein mittelständisches Unternehmen für Angreifer interessant?
Es muss deutlich gesagt werden, dass die Anzahl der im Unternehmen beschäftigten Mitarbeiter keine Rolle spielt für die Angreifer. Interessant ist die Kernkompetenz der Firma. Das kann z.B. eine Beschichtungstechnologie eines kleinen Unternehmens sein, dass ganz hinten in der Wertschöpfungskette steht oder ein StartUp einer Uni mit einer Superidee. Medizin, Maschinenbau, Finanzwesen, Logistik und viele mehr sind betroffen. Selbst Dienstleister und Händler sind lohnende Ziele. Wieso das?
Es geht nicht immer darum, einen Innovationsvorsprung aufzuholen. Ein ganz altmodisches Motiv ist die Erpressung von Firmen, weil man in dem Besitz derer Daten, Betriebs- und Geschäftsgeheimnissen  ist oder eben das System lahmlegt, um an Geld zu kommen. Sind soziale Netzwerke problematisch?
Ja. Ich habe Unternehmen kennengelernt, die ohne Abstufungen interessante Informationen darüber verbreiten – angefangen beim Klarnamen von Personen in Schlüsselpositionen bis hin zu Adressen und Kontaktdaten. Geschäftsführer sind gut beraten,  Social Guidelines aufzustellen, was Mitarbeiter posten dürfen und was nicht. Daran müssen sich aber auch alle halten. Wird Unternehmenssicherheit in der BRD also noch unterschätzt?
Die großen Konzerne sind sich der Gefahr bewusst und haben Schutzmaßnahmen etabliert. Meine Erfahrung hat gezeigt, dass der deutsche Mittelstand dieses Thema massiv unterschätzt und seine Unternehmenssicherheit oftmals nur auf die IT-Technik reduziert – und dann auch nur auf das Geschäft ausrichtet ohne Sicherheitsaspekte zu berücksichtigen.
       Es fragte: André Schramm