Schutz vor Wirtschaftsspionage: Das Milliarden-Tabu

BERLIN taz | Nicht immer sind die Indizien so erdrückend wie im Fall Ferrostaal. Ausgeschrieben war ein Großauftrag in Nigeria, Ferrostaal bewarb sich, es ging um ein Funküberwachungssystem. Die dortige Regierung schien das Essener Unternehmen zu favorisieren, doch irgendwie kam es, dass der Auftrag an einen Konkurrenten ging. Aus den USA. Doch das bessere Angebot?

Jahre nach dem Vorfall kommt „Frontal 21“ an Papiere zu dem Verfahren und macht öffentlich: von wegen das bessere Angebot. Die US-Botschaft hatte sich in die Vergabe eingeschaltet und sich interne Unterlagen von Ferrostaal besorgt. Die Konkurrenz kannte vom Preis des Angebots bis hin zu den Zinssätzen des Kredits so ziemlich alle Details.

Dass deutsche Unternehmen nicht nur von chinesischer oder russischer, sondern auch von US-Seite ausspioniert werden, ist spätestens seit den Snowden-Enthüllungen klar. Dennoch ist das Thema ein Tabu. Vor allem für die Unternehmen. „Gelten ein Unternehmen oder seine Produkte bei Kunden und Geschäftspartnern erst einmal als unsicher, ist das nur schwer aus der Welt zu schaffen“, sagte Dieter Kempf, Präsident des Branchenverbandes Bitkom unlängst bei der Vorstellung einer Studie zur Wirtschaftsspionage. Ein solcher Reputationsverlust könne die Existenz eines Unternehmens gefährden.

Auch der Unternehmensberatung PwC zufolge verzichten Firmen meist auf eine Anzeige. Wenn also nun Airbus als Reaktion auf die Berichte um geheimdienstliche Spionage Anzeige erstattet, wird das eher einen anderen Hintergrund haben: Schließlich war der Name des Konzerns bereits gefallen. Keine Reaktion könnte hier für die Reputation negative Folgen haben.

Aufklärung ist schwer

Ob mit oder ohne Anzeigen – die Aufklärung ist schwer. Denn wenn bei einem Unternehmen etwa Unterlagen von einem Server kopiert werden, sind sie erstens keineswegs verschwunden, sodass ein Verlust auffiele. Und zweitens ist fraglich, ob die Firma den Angriff erkennt. Und selbst wenn tatsächlich einmal eine Unregelmäßigkeit auffällt, tun Unternehmen in der Regel alles, damit nichts an die Öffentlichkeit dringt. Nicht umsonst hat sich die Industrie mit allen Mitteln dagegen gewehrt, dass im IT-Sicherheitsgesetz eine umfangreiche Meldepflicht für Angriffe auf IT-Infrastruktur verankert wird. Der Angst vor Rufschädigung ist groß.

„Wenn dann tatsächlich ein Schaden passiert ist, werden plötzlich ganz viele Budgets frei“, sagt Caroline Krohn, Gründerin des Unternehmens Wirtschaftsdiplomaten. Sie ist darauf spezialisiert, Akteure mit unterschiedlichen Hintergründen zusammenzubringen, und vermittelt so auch mal Managern einen Hacker.

Denn es müssen nicht die Geheimdienste selbst sein, die Wirtschaftsspionage betreiben. Sie sitzen zwar an der Quelle, können etwa E-Mails oder deren Metadaten – also etwa die Tatsache, dass ein Unternehmen in Deutschland mit der für eine Auftragsvergabe zuständigen Stelle eines anderen Staates in Kontakt steht – an die Konkurrenz weitergeben. Doch ebenso können Konkurrenten private Hacker beauftragen oder einen Mitarbeiter einschleusen. Oder, ganz altmodisch: Einbrecher beauftragen.

Dementsprechend gibt es nicht einmal einigermaßen übereinstimmende Zahlen dazu, wie hoch eigentlich die Schäden durch Wirtschaftsspionage sind. Von 11,8 Milliarden Euro Schaden jährlich für die Wirtschaft in Deutschland spricht die Unternehmensberatung Corporate Trust im vergangenen Jahr – im Jahr 2012 hatte sie den jährlichen Schaden noch auf 4,2 Milliarden geschätzt.

Das Spiel mit den Passwörtern

Der Branchenverband Bitkom beziffert den Schaden in der Studie vom April auf jährlich 51 Milliarden Euro und betont: konservativ gerechnet. Der Verband hat Unternehmen in einer repräsentativen Umfrage befragt, und immerhin 28 Prozent räumten ein, dass in ihrer Firma in den vergangenen zwei Jahren Computer, Smartphones oder Tablets gestohlen wurden.

Jedes fünfte Unternehmen registrierte Fälle von Social Engineering – eine einfache und beliebte Methode des Ausspionierens. Dabei werden beispielsweise Mitarbeiter per vermeintlich von der IT-Abteilung stammender Mail aufgefordert, ihr Passwort zu ändern und das neue zu übermitteln. Wer darauf hereinfällt, versorgt die Angreifer mit Zugangsdaten.

„Es gibt das Hacker-Bonmot: Es gibt die Unternehmen, die gehackt wurden, und die, die es noch nicht wissen“, sagt Krohn. Es gehe aber nicht nur um IT-Sicherheit: So ließen sich etwa Fensterscheiben mittels Laser abscannen und so Meetings abhören. „Das eine gängige Angriffsmuster gibt es nicht.“

Sie schaut daher in Unternehmen nicht nur auf Sicherheitsmaßnahmen, sondern auch auf die Firmenkultur: In einer offenen, vertrauensvollen Atmosphäre, in der Mitarbeiter sich eher trauten, Sicherheitslücken oder kritische Punkte ihren Kollegen oder Vorgesetzten zu melden, lasse sich ein Unternehmen deutlich besser gegen Spionage schützen.