Friedbert Meurer: In den USA regt sich inzwischen Protest gegen die Abhörpraxis des US-Geheimdienstes NSA im Ausland. Die Senatorin Diane Feinstein, immerhin Chefin des Geheimdienstausschusses im Senat, fordert eine Untersuchung und sie sagt, die Überwachung der Kanzlerin oder anderer befreundeter Regierungschefs, die lehne sie "total ab". Die USA verteidigen das Treiben der NSA ansonsten ja mit der Terrorabwehr. Das wiederum bezweifeln viele in Europa. Viele glauben hier, Washington holt sich da doch handfeste Vorteile heraus, auch wirtschaftliche. – Mein Kollege Jürgen Liminski sprach gestern Abend über das Thema Wirtschaftsspionage und wie sich deutsche Unternehmer schützen können mit Professor Thorsten Holz von der Ruhr-Universität Bochum. Er hat dort einen Lehrstuhl für Systemsicherheit.
Jürgen Liminski: Gibt es eine absolute Sicherheit, einen absoluten Schutz für Unternehmen vor Hackern oder anderen IT-Verbrechern?
Thorsten Holz: Leider können wir im Moment noch keinen absoluten Schutz bieten, und zwar sind die IT-Systeme so komplex geworden, dass wir es nicht schaffen, diese abzusichern, und es bleiben immer gewisse Lücken, die die Angreifer ausnutzen können, um Zugriff auf Systeme zu erlangen.
Liminski: Sind denn Patente auf Erfindungen oder Fortschritte kein Schutz?
Holz: Patente sind ja nur ein Schutz auf der, sagen wir mal, juristischen Ebene, dass ich danach ein anderes Unternehmen verklagen kann. Allerdings kann das, wenn jetzt jemand Wirtschaftsspionage betreibt und Zugriff auf geheime Informationen oder Patente, die sich gerade noch in der Entwicklung befinden, erlangt, dann kann diese Firma sich die hohen Entwicklungskosten einfach sparen, weil sie einfach, soweit sie Zugriff auf die Daten haben, nicht selber forschen müssen, sondern das ganze quasi auf dem Silbertablett präsentiert bekommen.
Liminski: Wenn es nun keinen definitiven Schutz gibt, wie können Unternehmen sich dann solcher Angriffe erwehren? Was würden Sie ihnen raten?
Holz: Prinzipiell gibt es zwei Methoden, die auch ein bisschen komplementär zueinander sind. Auf der einen Seite sollte man versuchen, möglichst die Defensive auszubauen, sprich immer Sicherheits-Updates einspielen, dafür sorgen, dass die Antiviren-Signaturen aktuell sind, Schutzmechanismen installieren, die es einem ermöglichen, Angriffe zu finden, und ähnliche defensive Methoden, um beobachten zu können, was im Netzwerk passiert.
Auf der anderen Seite gibt es auch proaktive Methoden, dass man quasi versucht, proaktiv sein Netzwerk zu schützen. Dort kann man beispielsweise sogenannte Penetration-Tests durchführen. Das kann man sich vorstellen als einen simulierten Angriff. Man bezahlt spezielle Personen, die dann das Netzwerk auf Sicherheitslücken untersuchen und so simulieren, was ein Angreifer tun würde.
Liminski: Wird das denn in Deutschland auch getan, oder sind die Unternehmer ähnlich wie die Politik so naiv, dass sie glauben, Freunde tun das nicht?
Holz: Es gibt einige Firmen, die tun das, gerade wenn in diesen Firmen das Sicherheitsbewusstsein höher ist. Dann werden entsprechende Tests durchgeführt oder die investieren auch in IT-Sicherheit. Leider tun das nicht alle Firmen. Aber ich denke, jetzt über diese aktuellen Aufdeckungen wird das ganze Sicherheitsbewusstsein in Deutschland einfach erhöht, und ich hoffe, dass in Zukunft einfach mehr und mehr Firmen sich dafür entscheiden, sowohl defensiv als auch proaktiv mehr zu tun.
Liminski: Nun kennen wir ja diese Hacker-Problematik schon, um nicht zu sagen, seit Jahrzehnten. Ist denn die deutsche Wirtschaft da nicht etwas früher hellhörig geworden, um sich abzusichern und solche simulierten Hacker-Angriffe, wie Sie es eben gerade sagten, wirklich zu üben?
Holz: Ich denke, viele Firmen tun etwas, nur viele Firmen leider auch nicht, und gerade auch Firmen, die sich traditionell nicht im Angriff sehen. Meinetwegen ein kleiner Mittelständler, der in seiner Sparte zwar Weltmarktführer ist, aber vielleicht überhaupt nicht sehr mit technischen Produkten zu tun hat. Ich denke, solche Firmen haben in der Vergangenheit zu wenig getan und die lernen jetzt erst, dass sie dann doch Ziel von solchen Angriffen sind und dass andere Personen Zugriff auf ihre geheimen Daten haben.
Liminski: Sie sind Professor für Systemsicherheit in der IT-Technik. Das heißt doch, dass das Bewusstsein in Ihrer Branche für so etwas hoch ist, sonst gäbe es ja nicht diesen Lehrstuhl. Fragen die Unternehmen auch bei Ihnen mal an?
Holz: In Bochum haben wir mehrere Lehrstühle, die sich alle mit IT-Sicherheit beschäftigen. Wir decken diverse Themengebiete in diesem Bereich ab. Insgesamt bekomme ich beziehungsweise auch meine Kollegen relativ viele Anfragen in letzter Zeit, dadurch, dass das Bewusstsein in letzter Zeit auch deutlich gestiegen ist, auf diese Art von Sicherheitsvorfällen zu reagieren.
Liminski: Wie beurteilen Sie denn die aktuelle Debatte vom Gesichtspunkt der Systemsicherheit? Eigentlich müssten Sie so eine Debatte doch begrüßen, vom traurigen Anlass des Vertrauensbruchs mal abgesehen.
Holz: Ja, leider schon. Ich denke, gerade in unserem Bereich haben wir viel gesehen, beispielsweise auch durch Vorfälle wie Stuxnet oder andere größere Vorfälle, bei denen sowohl Rüstungsfirmen als auch Hightech-Firmen in den USA deutlich angegriffen wurden. Das hat uns natürlich indirekt auch geholfen, einfach um quasi das Bewusstsein zu schärfen, sowohl durch die Medien als auch durch die Politik das Thema im Moment auch sehr stark diskutiert wird, und das hilft einfach, das Sicherheitsbewusstsein, ich glaube, deutschlandweit einfach zu erhöhen.
Liminski: Welche Firmen, Herr Holz, sind denn besonders anfällig für solche Angriffe, um ausspioniert zu werden?
Holz: Ich denke, da gibt es viele Arten von möglichen Zielen: zum einen natürlich Großkonzerne, weil die natürlich auch viel investieren in Forschung und entsprechend auch viele interessante Informationen haben, aber dann gibt es auch kleine Mittelständler, die in ihrer Sparte einfach Weltmarktführer sind, weil sie über die Jahre viel Potenzial entwickelt haben oder auch viele Innovationen durchgeführt haben. Selbst wenn es nur eine sehr kleine Firma ist, vielleicht mit 50 oder 500 Mitarbeitern, kann die dennoch ein sehr interessantes Ziel sein, weil sie über relevante und interessante Informationen verfügt.
Meurer: Professor Thorsten Holz von der Ruhr-Universität Bochum zum Thema Wirtschaftsspionage, was deutsche Unternehmer tun können. Jürgen Liminski führte das Gespräch.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Jürgen Liminski: Gibt es eine absolute Sicherheit, einen absoluten Schutz für Unternehmen vor Hackern oder anderen IT-Verbrechern?
Thorsten Holz: Leider können wir im Moment noch keinen absoluten Schutz bieten, und zwar sind die IT-Systeme so komplex geworden, dass wir es nicht schaffen, diese abzusichern, und es bleiben immer gewisse Lücken, die die Angreifer ausnutzen können, um Zugriff auf Systeme zu erlangen.
Liminski: Sind denn Patente auf Erfindungen oder Fortschritte kein Schutz?
Holz: Patente sind ja nur ein Schutz auf der, sagen wir mal, juristischen Ebene, dass ich danach ein anderes Unternehmen verklagen kann. Allerdings kann das, wenn jetzt jemand Wirtschaftsspionage betreibt und Zugriff auf geheime Informationen oder Patente, die sich gerade noch in der Entwicklung befinden, erlangt, dann kann diese Firma sich die hohen Entwicklungskosten einfach sparen, weil sie einfach, soweit sie Zugriff auf die Daten haben, nicht selber forschen müssen, sondern das ganze quasi auf dem Silbertablett präsentiert bekommen.
Liminski: Wenn es nun keinen definitiven Schutz gibt, wie können Unternehmen sich dann solcher Angriffe erwehren? Was würden Sie ihnen raten?
Holz: Prinzipiell gibt es zwei Methoden, die auch ein bisschen komplementär zueinander sind. Auf der einen Seite sollte man versuchen, möglichst die Defensive auszubauen, sprich immer Sicherheits-Updates einspielen, dafür sorgen, dass die Antiviren-Signaturen aktuell sind, Schutzmechanismen installieren, die es einem ermöglichen, Angriffe zu finden, und ähnliche defensive Methoden, um beobachten zu können, was im Netzwerk passiert.
Auf der anderen Seite gibt es auch proaktive Methoden, dass man quasi versucht, proaktiv sein Netzwerk zu schützen. Dort kann man beispielsweise sogenannte Penetration-Tests durchführen. Das kann man sich vorstellen als einen simulierten Angriff. Man bezahlt spezielle Personen, die dann das Netzwerk auf Sicherheitslücken untersuchen und so simulieren, was ein Angreifer tun würde.
Liminski: Wird das denn in Deutschland auch getan, oder sind die Unternehmer ähnlich wie die Politik so naiv, dass sie glauben, Freunde tun das nicht?
Holz: Es gibt einige Firmen, die tun das, gerade wenn in diesen Firmen das Sicherheitsbewusstsein höher ist. Dann werden entsprechende Tests durchgeführt oder die investieren auch in IT-Sicherheit. Leider tun das nicht alle Firmen. Aber ich denke, jetzt über diese aktuellen Aufdeckungen wird das ganze Sicherheitsbewusstsein in Deutschland einfach erhöht, und ich hoffe, dass in Zukunft einfach mehr und mehr Firmen sich dafür entscheiden, sowohl defensiv als auch proaktiv mehr zu tun.
Liminski: Nun kennen wir ja diese Hacker-Problematik schon, um nicht zu sagen, seit Jahrzehnten. Ist denn die deutsche Wirtschaft da nicht etwas früher hellhörig geworden, um sich abzusichern und solche simulierten Hacker-Angriffe, wie Sie es eben gerade sagten, wirklich zu üben?
Holz: Ich denke, viele Firmen tun etwas, nur viele Firmen leider auch nicht, und gerade auch Firmen, die sich traditionell nicht im Angriff sehen. Meinetwegen ein kleiner Mittelständler, der in seiner Sparte zwar Weltmarktführer ist, aber vielleicht überhaupt nicht sehr mit technischen Produkten zu tun hat. Ich denke, solche Firmen haben in der Vergangenheit zu wenig getan und die lernen jetzt erst, dass sie dann doch Ziel von solchen Angriffen sind und dass andere Personen Zugriff auf ihre geheimen Daten haben.
Liminski: Sie sind Professor für Systemsicherheit in der IT-Technik. Das heißt doch, dass das Bewusstsein in Ihrer Branche für so etwas hoch ist, sonst gäbe es ja nicht diesen Lehrstuhl. Fragen die Unternehmen auch bei Ihnen mal an?
Holz: In Bochum haben wir mehrere Lehrstühle, die sich alle mit IT-Sicherheit beschäftigen. Wir decken diverse Themengebiete in diesem Bereich ab. Insgesamt bekomme ich beziehungsweise auch meine Kollegen relativ viele Anfragen in letzter Zeit, dadurch, dass das Bewusstsein in letzter Zeit auch deutlich gestiegen ist, auf diese Art von Sicherheitsvorfällen zu reagieren.
Liminski: Wie beurteilen Sie denn die aktuelle Debatte vom Gesichtspunkt der Systemsicherheit? Eigentlich müssten Sie so eine Debatte doch begrüßen, vom traurigen Anlass des Vertrauensbruchs mal abgesehen.
Holz: Ja, leider schon. Ich denke, gerade in unserem Bereich haben wir viel gesehen, beispielsweise auch durch Vorfälle wie Stuxnet oder andere größere Vorfälle, bei denen sowohl Rüstungsfirmen als auch Hightech-Firmen in den USA deutlich angegriffen wurden. Das hat uns natürlich indirekt auch geholfen, einfach um quasi das Bewusstsein zu schärfen, sowohl durch die Medien als auch durch die Politik das Thema im Moment auch sehr stark diskutiert wird, und das hilft einfach, das Sicherheitsbewusstsein, ich glaube, deutschlandweit einfach zu erhöhen.
Liminski: Welche Firmen, Herr Holz, sind denn besonders anfällig für solche Angriffe, um ausspioniert zu werden?
Holz: Ich denke, da gibt es viele Arten von möglichen Zielen: zum einen natürlich Großkonzerne, weil die natürlich auch viel investieren in Forschung und entsprechend auch viele interessante Informationen haben, aber dann gibt es auch kleine Mittelständler, die in ihrer Sparte einfach Weltmarktführer sind, weil sie über die Jahre viel Potenzial entwickelt haben oder auch viele Innovationen durchgeführt haben. Selbst wenn es nur eine sehr kleine Firma ist, vielleicht mit 50 oder 500 Mitarbeitern, kann die dennoch ein sehr interessantes Ziel sein, weil sie über relevante und interessante Informationen verfügt.
Meurer: Professor Thorsten Holz von der Ruhr-Universität Bochum zum Thema Wirtschaftsspionage, was deutsche Unternehmer tun können. Jürgen Liminski führte das Gespräch.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.