Ein amerikanischer Kollege von mir meinte neulich: Es gibt nur zwei Arten von Know-how tragenden Unternehmen. Die, die schon gehackt wurden und die, die es nicht gemerkt haben.
Eine Hotellobby in Zürich. Der Hacker Felix Lindner ist auf Vortragsreise. Allein in den letzten zwei Monaten hat er 80.000 Kilometer mit dem Flugzeug zurückgelegt. Der 37-jährige Berliner Chef der Firma "Recurity Labs" ist gefragt. Die Presse sieht ihn als Avantgardisten der Hacker-Szene. Er hat das von der CIA als absolut sicher eingestufte Mobiltelefon "Blackberry" gehackt. Ebenso wie das System der Firma CISCO, einem der Giganten im Markt der Informationstechnologie, kurz IT.
"Wir beschäftigen uns halt viel mehr mit Produktsicherheit. Das heißt, das Kernprodukt ist eigentlich kein Computer. Ist aber heutzutage doch einer. Also Autos, Medizintechnik, Luftfahrt, so was. Ein Autobauer will eigentlich erst mal ein Auto bauen. Aber da steckt mittlerweile halt ein Riesenhaufen Computer drinnen. Und da muss man halt frühzeitig mit drauf schauen und schlicht beratend tätig sein. Wie baut man jetzt die nächste Generation so, dass, wenn ihr da ein Sicherheitsproblem habt oder dort oder so, euch nicht das ganze Ding direkt um die Ohren fliegt."
Außerdem führt der IT-Profi sogenannte "Penetrationstests" durch. Auf Wunsch von Unternehmen greift er deren Server und Netzwerke an, auf der Suche nach Sicherheitslücken. Ein einträgliches Geschäft. Über seine Kunden spricht Felix Lindner nie. Hohe Vertragsstrafen drohen, sollte er zu viel verraten.
"Viele Leute in Unternehmensleitungen denken: Na IT, da haben wir einen für, und IT-Sicherheit, da hat der dann einen für. Und das ist halt nichts, was sie angeht. Was natürlich totaler Quatsch ist. Viele Unternehmen sind, ob sie es wahrhaben wollen oder nicht, IT-zentrisch. Nehmen wir einen Energie-Versorger."
Profis finden Sicherheitslücken sofort
So einen hat Felix Lindner neulich vom Netz genommen. Für eine ARTE-Dokumentation ist er in die Netzinfrastruktur der Stadtwerke Ettlingen im Schwarzwald eingebrochen. Drei Tage brauchte er, um so weit zu kommen, dass er den Strom hätte kappen können. Die Verantwortlichen dachten, dass alles sicher sei. Oft reicht es aus, dass ein Mitarbeiter unbedacht eine e-Mail öffnet. Und schon stehen alle Tore offen. Für Profis ist es oft ein Leichtes, in sensible Systeme und an geheime Daten zu gelangen. Von der Kreditkartennummer über persönliche Gesundheitsinformationen. Oder eben bis in die Schaltzentralen von Stromversorgern.
"Das ist ein großer Skandal! Weil man sich eigentlich um IT-Sicherheit noch nie so groß bemüht hat."
Sagt Marc Tenbieg. Der geschäftsführende Vorstand des Deutschen Mittelstandsbundes, DMB, aus Düsseldorf. Ihn macht das alles schon ein bisschen nervös. Viele Unternehmen stellen Qualitätsprodukte her, die weltweit gefragt sind. Nicht nur die namhaften Großunternehmen, um die er sich wenig Sorgen macht. Auch und gerade die mittelständischen Unternehmen machen Deutschlands Ingenieurskunst berühmt. Diese Ingenieurskunst – sie ist das zuverlässige Rezept der deutschen Exportkraft - aber für besonders interessierte, nicht wohlmeinende "Kunden" ist sie mit ein paar Klicks von außen abrufbar.
IT-Sicherheitslücken in mittelständischen Unternehmen
"Also viele mittelständische Unternehmen sind in Deutschland angesiedelt, die als "Hidden Champions" gelten. Das heißt, sind weltweit anerkannt mit ihren Erfindungen oder mit ihren Produktionstechniken, und letztendlich konzentriert sich eine Denker- und Ingenieurnation, wie sie in Deutschland doch so häufig wieder anzutreffen ist, immer wieder auf die Entwicklung von eben neuen Technologien und kümmert sich aber nicht darum, diese Technologien eben auch zu schützen. Und das ist ein großes Problem."
Marc Tenbieg kritisiert, dass in Europa die Förderung der IT-Branche lange vernachlässigt worden ist. Die Nordamerikaner haben von Anfang an den Ton - und die Produkte - der globalen digitalen Welt vorgegeben. Eine Welt, in der nichts mehr ohne Profis der Informationstechnologie funktioniert. In Europa galten Hacker lange als realitätsferne Kellerkinder, die keine analogen Freunde haben, sich nur von Pizza und Limonade ernähren. Menschen, die mit einem Computer Dinge machen können, von denen Außenstehende nicht den Hauch einer Ahnung haben.
Errichtung digitaler Ritterburgen
Klischeebilder mit Wahrheitsgehalt. Doch es hat einen Wandel gegeben. Die deutsche Wirtschaft ist abhängig von IT-Spezialisten. Sie halten die Systeme am Laufen und sollen sich um die Sicherheit kümmern. Um die Errichtung digitaler Ritterburgen: Denn heute kommen die Angriffe durch das Netzwerkkabel. Unternehmerinnen und Unternehmer wollen öffentlich nicht so gerne über Hacker und Systemsicherheit reden - alle Interviewanfragen sind ins Leere gelaufen. Dabei gäbe es durchaus Neuigkeiten zu kommentieren.
"Dank Edward Snowden ist dort ein gewisses Umdenken entstanden. Wenn man bedenkt, das ist jetzt knapp ein Jahr her, Sommer 2013, wo die großen Enthüllungen kamen. Da überlegt man doch schon sehr wohl, was ist im eigenen Unternehmen los. Hat man eine Sicherheitsstrategie entwickelt. Im kleinen mittelständischen Unternehmen können Sie es in der Regel komplett vergessen."
Hacker platziert sein Logo auf der Homepage der NSA
Einer der vom Umdenken profitiert, ist Matthias Ungethüm. Der 24-jährige Hacker aus dem mittelsächsischen Geringswalde nennt sich und sein Ein-Mann-Unternehmen "Unnex". Er wohnt noch bei seinen Eltern. Ein schmaler Typ mit langen Haaren und akkurat gefeilten Fingernägeln. Matthias hat Schlagzeilen gemacht, als er vor ein paar Monaten eine Sicherheitslücke auf der Homepage der NSA fand und dort sein Logo platzierte. Eine tolle Werbung für seine Dienstleistungen. Auch er bietet die sogenannten "Penetrationstests" an. Bis vor zwei Jahren allerdings war der ehemalige Hauptschüler im Untergrund unterwegs. Hat illegale Aktionen durchgeführt, bis die Polizei zum Entsetzen seiner Eltern mehrmals im Haus stand.
"Ich bin zwar teilweise noch mit manchen Leuten in Kontakt, mache aber nichts mehr Aktiv. Weil man das eben früh merkt, dass die Szene doch irgendwie schlecht ist, sag ich mal. Dass sie einen schlechten Einfluss hat. Ein Gewissen haben großartig, gibt's da eigentlich gar nicht. In der Szene zählt eigentlich nur das Geld. Da gibt's nicht viel, was Moral betrifft. Wo jemand sagt: "Das mach ich jetzt nicht" oder so was."
Hacker profitieren von der Blauäugigkeit der Unternehmen
Heute fragen auch Unternehmen an, ob der Hacker für sie nicht die Konkurrenz ausspionieren oder schädigen könnte. Ein Weg beispielsweise ist es, einen Onlineshop für längere Zeit so zu manipulieren, dass er nicht mehr erreichbar ist. Aufträge, die Matthias Ungethüm nicht annimmt.
"Es kommen auch, wie soll ich sagen, kleine Unternehmen zu einem, die einfach nur ihre privaten Webseiten da gesichert haben wollen. Es kommen auch sehr große Firmen zu einem, die ich jetzt natürlich nicht nennen kann, weil wir immer Geheimhaltungsklauseln und Ähnliches in Verträgen. Ich meine, da kommen teilweise 600 Lücken, 1.000 Lücken für eine Website zusammen. Ist eine erschreckende Zahl, ne? Ich hab am Anfang auch nicht gedacht, dass es tatsächlich solche Lücken gibt. So viele. Wenn du da 1.000 Lücken drin hast, dann freust du dich nicht mehr über jede einzelne. Ab und zu lass ich den Spruch mal, ich könnte genauso gut auch Glaskugeln verkaufen. Weil die Leute schlecht nachprüfen können, was ich mache. Das wissen die in der Regel erst, wenn was passiert ist. Und wenn ich dann was durchgetestet hab und das alles behoben wurde, dann soll halt nichts mehr passieren."
Neue digitale Waffen
Die Nachvollziehbarkeit ist ein Problem. Firmen spüren den Sinn der Sicherheitsmaßnahmen oft erst in dem Augenblick, in dem etwas passiert. Und dann waren die Maßnahmen meistens unzureichend. Unternehmen wollen sich nicht nur vor der Konkurrenz oder vor Geheimdiensten schützen. Auch Erpressungen sind ein großes Thema. Während früher mit der Vergiftung des Apfelsafts gedroht wurde, sind es heute digitale Angriffe. Mit analogen Folgen. Im Frühjahr spähten Hacker die privaten Emails eines Aufsichtsratsmitglieds des zweitgrößten Lebensmittelunternehmens in Deutschland, "Rewe", aus. Offenbar gerieten Expansionspläne in die Hände des Unbekannten.
"Ich denke auch, dass REWE da einfach dilettantisch genug unterwegs war."
Ein Fall, bei dem sich Dirk Engling, einer der Sprecher des "Chaos Computer Clubs", an den Kopf fasst. Er sitzt in einem Café in Berlin-Prenzlauer Berg, hat die ganze Nacht durchgearbeitet. Auch er berät Unternehmen in Sachen IT-Sicherheit. Vermutlich, sagt er, war das private Email-Konto des Aufsichtsratsmitglieds ein kostenloses Konto, wie es zahlreiche Anbieter, wie Web.de, GMX, Yahoo, AOL oder Google-Mail, kurz Gmail, zur Verfügung stellen.
"Ich habe mittelständische Unternehmen beraten, die wie selbstverständlich "Gmail" benutzt haben und haben sich dabei nicht die Gedanken gemacht, dass sie eigentlich erstens ein Verfügbarkeitsproblem geschaffen haben, dass plötzlich die Emails irgendwo auf Servern im Ausland liegen. Auf der einen Seite besteht die Gefahr, dass die eigenen Email-Server nicht geschützt sind. Auf der anderen Seite zeichnete sich in den letzten Jahren der Trend ab, von sich aus schon zentrale Bestandteile der Firmen-IT in die "Cloud" und dann vielleicht noch in die kostenlose "Cloud" auszulagern."
Wer eine "Cloud", wörtlich übersetzt Wolke, benutzt, der lädt seine Daten auf einen Server, der unzähligen anderen Nutzern zur Verfügung steht. Die Informationen sind somit nicht mehr zentral auf einer Festplatte oder in einem lokalen Rechenzentrum. Benutzerinnen und Benutzer können, wo immer sie sich befinden, vom Smartphone, dem Laptop oder dem Computer im Büro problemlos auf ihre Informationen zugreifen.
"Ich mag den Spruch sehr gerne: Es gibt nicht wirklich eine "Cloud", nur Computer anderer Leute. Und zweitens, dass wenn man die Daten dorthin kopiert, dann sind die dort erst mal weg und für mindestens Administratoren der Firma, wo man dann seine Mails liegen hat, einsehbar."
Wissen kann leicht zweckentfremdet werden
Hacker programmieren sogenannte Werkzeuge, um Angriffe abzuwehren. Diese können mit ausreichend Sachverstand oftmals auch zu illegalen Zwecken eingesetzt werden. Der Gesetzgeber hat vor einigen Jahren den sogenannten "Hackerparagrafen" erlassen. Im Strafgesetzbuch steht jetzt, dass, wer Passwörter, die den Zugang zu Daten ermöglichen oder entsprechende Computerprogramme herstellt oder besorgt oder verkauft, der kann mit bis zu einem Jahr Gefängnisstrafe rechnen. Dirk Engling bezeichnet den Gesetzestext als Gummiparagrafen. Denn welche Programme und Werkzeuge genau gemeint sind, wird nicht verraten. Für Hacker besteht außerdem die Gefahr, dass auch bei gewöhnlichen „Penetrationstests" - also der Simulation von Hacker-Angriffen - Wissen zweckentfremdet wird.
"Eigentlich ist das Wissen dann schon da, aus Pandoras Box entwichen. Das heißt, dass wenn man das so ordentlich dokumentiert hat, wie es eigentlich der Industriestandard ist, welchen Softwarefehler man behoben hat, gibt es ja üblicherweise zum Abschluss des Auftrags eine Zusammenfassung. Der Bericht, in dem eigentlich alles drin steht, was man braucht, um auch dem Auftraggeber zu erklären, wie er sein eigenes System jetzt noch mal überprüfen kann. Ob es wirklich sicher ist, und genau mit diesem Werkzeug kann er sein eigenes Netzwerk oder auch fremde Netzwerke untersuchen. Man hat eigentlich dieses Werkzeug aus der Hand gegeben. Und die eigene moralische Komponente ist dann komplett draußen."
China und Russland als Könige der Wirtschaftsspionage bekannt
Kunden können mit dem Wissen des Hackers jetzt anstellen, was sie wollen. Die NSA spioniert ganz offiziell Deutschland aus. Von Chinesen und Russen wird gemeinhin angenommen, dass sie die Könige der Wirtschaftsspionage seien. Wo steht Deutschland, wenn es darum geht, die Perlen der anderen zu sichten? Für Dirk Engling steht fest, dass die Unternehmen und Geheimdienste hierzulande auch Wirtschaftsspionage betreiben. Sein Hacker-Kollege Felix Lindner hält dagegen.
"Also dass wir da tatsächlich eine weiße Weste haben. Nicht, weil wir jetzt moralisch soweit hoch stehen, sondern schlicht und ergreifend, weil die sehr begrenzten Fähigkeiten, die wir in diesem Bereich haben, vollständig damit ausgelastet sind, tatsächliche Geheimdienstarbeit im Sinne von Spionageabwehr, Antiterror und solche Geschichten zu machen. Die haben die da schon die Backen dick mit."
"Das heißt, der Bundesnachrichtendienst ist rein von der Mannkraft gar nicht in der Lage, große Industriespionage durchzuführen?"
"So wirkt das auf mich, ja."
Netzaktivitäten von Politik und Wirtschaft steckt noch in den Kinderschuhen
Der Blogger, Journalist und Netzaktivist Markus Beckedahl von "Netzpolitik.org" gibt dennoch keine Entwarnung. Schon seit Jahren beobachtet er die Netzaktivitäten von Politik und Wirtschaft.
"Also die Bundesregierung war ja etwas verwundert, zumindest öffentlich, als die Snowden-Enthüllungen anfingen, und man fragte sich damals: Also entweder ist man komplett unfähig und hat seinen Laden nicht unter Kontrolle - oder es gibt etwas zu verheimlichen."
Seine Antwort: Es gebe etwas zu verheimlichen. Wenn die deutschen Geheimdienste vielleicht nicht selbst spionierten, so stehe nun fest, dass sie ihre Hände mit Sicherheit nicht in Unschuld waschen könnten.
"Insofern steht die Bundesregierung vor so einer Art Zielkonflikt. Auf der einen Seite möchte man unsere Wirtschaft, unsere eigenen Infrastrukturen schützen, und auf der anderen Seite profitiert man von einem System, was anlasslos eine Totalüberwachung global eingeführt hat. Wo ja im Namen der Sicherheit Unsicherheit geschaffen wird und wo man es billigend in Kauf nimmt, dass Geheimdienste kriminelle Cybercrime-Methoden selbst anwenden. Vor denen sie eigentlich uns schützen sollten. Dazu gehört beispielsweise auch, dass der Bundesnachrichtendienst mehr Befugnisse bekommen soll. Nämlich auch offensives Hacken. Auch offensives Aufkaufen von Sicherheitslücken, die eigentlich offengelegt unsere Sicherheit insgesamt erhöhen würden. Wenn sie nicht offengelegt werden, wenn sie von Geheimdiensten missbraucht werden, bringt das uns allen nur Unsicherheit."
Ende Juni dieses Jahres hat Markus Beckedahl auf seinem Nachrichtenportal unter der Überschrift "Arbeitserleichterung für die NSA" darauf hingewiesen, dass der Bundestag seinen Internetanschluss über den US-Konzern „Verizon" bezieht.
"Es hätte ja klar sein sollen, dass "Verizon" vielleicht eines der schlechtesten Unternehmen ist, mit denen man zusammenarbeiten sollte. Wenn klar ist, dass sie selbst in den USA eigene US-Bürger, was nun in den USA echt verfassungswidrig ist, überwachen. Wo halt auch klar ist, was sie in Übersee machen, das tangiert die jetzt eigentlich in den USA eher weniger, weil das zählt ja eher bei den Geheimdiensten als Heldentum."
Bundesregierung möchte zur Deutschen Telekom wechseln
Hastig haben die Verantwortlichen im Parlament den Vertrag zum Ende des Jahres gekündigt. Die Bundesregierung will nach dem Willen des Innenministeriums bis 2015 aussteigen und am liebsten zur "Deutschen Telekom" wechseln. Ob das neue Handelsabkommen für Dienstleistungen TISA beim Vertragsabschluss mit "Verizon" Sicherheit geschaffen hätte? Man weiß es nicht. Die Europäische Union verhandelt im Rahmen von TISA momentan mit Vertretern der USA über die Details zum Austausch von Informations- und Kommunikationstechnologie. Welche Relevanz dies für die IT-Sicherheit deutscher Firmen hat, ist noch nicht klar. Markus Beckedahl:
"Haben wir noch null. Da haben wir noch nicht einmal, was... also sagt selbst die Bundesregierung. „Weiß gar nicht, worum es überhaupt geht". Muss natürlich weiter verfolgt werden. Aber sie hat noch keine Infos von der EU-Kommission erhalten. Da fragt man sich, werden wir jetzt hier alle angelogen oder ist das tatsächlich so absurd!?"
Das Thema IT-Sicherheit bekommt ein immer größeres Gewicht. Nicht zuletzt dadurch, dass auf Fachmessen immer mehr asiatische Kopien von deutschen Produkten auftauchen. Kopien, deren Herkunft sich auch auf IT-Spionage zurückführen lässt. Stephan Wernicke ist der Chef-Justiziar des "Deutschen Industrie- und Handelskammertags", kurz DIHK.
"Wir haben das Problem mit Innentätern. Wir haben das Problem mit ausländischen Nachrichtendiensten. Wir haben Probleme, gegen die es tatsächlich gilt, sich zu sensibilisieren und sich zu wehren, und das geht über Virenschutzprogramme hinaus."
Asiatische Kopien sind kein Zufall
Große Unternehmen, sagt er, hätten das Geld und das Know-how, um sich ausreichend zu schützen. Damit auch der Mittelstand sicher ist, will er die Politik zur Verantwortung rufen.
„Infolgedessen appellieren wir hier an den Staat, seinem Schutzauftrag gerecht zu werden. Denn die Schutzfunktion des Staates muss hier greifen, und wir sind gemeinsam mit den staatlichen Stellen dabei, hier auch eine Strategie zu entwickeln."
Gemeinsame Initiativen gibt es bereits. Vor drei Jahren rief das Bundesamt für Sicherheit in der Informationstechnologie, kurz BSI, gemeinsam mit Wirtschaftsverbänden die „Allianz für Cybersicherheit" ins Leben. BSI-Chef Michael Hange sieht aber keine staatliche Verantwortung.
"Man muss grundsätzlich sagen, dass die Eigenverantwortung sowohl beim Bürger wie bei Wirtschaftsunternehmen für die Sicherheit der eigenen IT oder der Informationen auf den informationstechnischen Systemen natürlich bei den Unternehmen selbst liegt."
Es sei vor allem wichtig, immer wieder auf die Standards hinzuweisen. Auf Datensicherung, auf die Verwendung von aktueller Virensoftware oder auf den Verzicht der Nutzung fremder "Clouds", sogenannter Datenwolken.
"Weil wir die Erfahrung gemacht haben, dass wenn man Standards, Sicherheitsmaßnahmen, die schon bekannt sind, dass man etwa 80 bis 90 Prozent der Angriffe auch abwehren kann, und das wäre für den Mittelstand schon ein großer Vorteil."
Das BSI, eine Zivilbehörde des Bundesinnenministeriums, sieht seine Aufgabe neben diesen Präventionsmaßnahmen außerdem darin, früh vor möglichen Gefahren zu warnen.
"Bis hin zu dem Punkt, wenn die Angriffe durchschlagen, wie ein Notfallkonzept aussieht."
Wie kann das massive Sicherheitsleck der deutschen Wirtschaft geschlossen werden? Niemand kann bemessen, wie groß der Schaden durch die Hackerangriffe wirklich ist. In jedem Fall gibt es einen Gewinner: die IT-Sicherheitsbranche. Felix Lindner, der viel gefragte Hacker aus Berlin, fordert ein Umdenken. Doch das brauche zuerst einmal Sachverstand von allen Seiten.
"Das ultimative Ziel ist schon noch arbeitslos zu werden, ne. Ich möchte im Alter irgendwie nicht mehr an einen Geldautomaten gehen, wo ich die Karte reinschiebe, und in meinem Kopf irgendwie fünfzig Angriffsszenarien durchlaufen haben, die alle funktionieren würden."