Sarah Zerback: Aber wir starten mit einem Blick über den Atlantik nach Washington. Dort hält US-Präsident Obama in diesen Minuten seine lang erwartete Rede zum NSA-Skandal. Dabei wird es auch darum gehen, wie weit Amerikas Geheimdienste in Sachen digitaler Überwachung künftig gehen dürfen. Nun ist es ja erst mal kein Geheimnis, dass die auch ausländische Unternehmen ausspähen. Computer, Netzwerke und Großrechner werden im Sekundentakt attackiert. Das wissen wir nicht erst seit den Enthüllungen Snowdens. Fraglich bleibt aber bislang, ob genau diese Informationen wirklich nur zur Terrorabwehr ausgewertet werden, wie es die Amerikaner beteuern, oder ob amerikanische Unternehmen durch die Geheimdienstdaten womöglich doch Wettbewerbsvorteile erlangen. Beweise dafür, die hat bisher niemand, aber nachdem sich die Zahl der offensichtlich ausgespähten Verbündeten häuft, darunter neben Deutschland eben auch Italien, Frankreich, Brasilien und selbst das kleine Dänemark, da wachsen auch die Befürchtungen.
- Dazu begrüße ich jetzt Sandro Gaycken, er forscht am Institut für Informatik der Freien Universität Berlin und er berät als IT- und Verteidigungsexperte unter anderem die deutsche Bundesregierung. Herr Gaycken, guten Tag.
Sandro Gaycken: Hallo!
Zerback: Wie anfällig sind denn Ihrer Meinung nach Firmen, deutsche Firmen für Datenattacken aus dem Internet? Was sind da die größten Bedrohungen?
Gaycken: Leider sind die Firmen grauenhaft anfällig, muss man sagen. Immer wieder, wenn man Assessments macht oder Dinge hört, mit denen spricht, die haben in vielen Fällen nicht besonders gute Konzepte für IT-Sicherheit. Einige haben auch überhaupt gar nicht erst groß darüber nachgedacht. Wir hören tatsächlich auch sehr, sehr regelmäßig von irgendwelchen Zwischenfällen, die inzwischen bemerkt werden, weil man etwas genauer hinsieht, wo also dann Entwicklungsdaten geklaut wurden, innovative Produkte geklaut wurden. Und die Wirtschafts- und Industriespionage ist da schon sehr weit fortgeschritten.
Zerback: Das ist interessant, dass Sie das sagen, weil so ganz neu sind die Ausspäh-Vorwürfe ja nicht und ich habe gelesen, im Jahr 2000 schon, da hat ein ehemaliger CIA-Chef bestätigt, dass das gemacht wird. Aber da hat er bestritten, dass es da wirklich um Wettbewerbsvorteile ging, und zwar mit den Worten, dass die meisten europäischen Technologien ja den Diebstahl gar nicht lohnen. Lohnt es denn heute?
Gaycken: Ja, es lohnt. Wir wissen jetzt natürlich nicht, ob es die Amerikaner sind. Man sieht an diesen Rechnern nicht, wer das war. Die lassen keine Flaggen liegen oder so was. Und die Spuren sind auch nur sehr schwer zurückzuverfolgen. In sehr vielen Fällen führen die in Richtung China, irgendwo anders hin, nach Asien, manchmal nach Afrika. Und wer dann letzten Endes dahinter sitzt, lässt sich immer nur schwer sagen. Aber man sieht ganz klar, dass dieses Konzept der Spionage, dadurch, dass es so einfach geworden ist, durch Hacker überall reinzukommen und diese Informationen zu bekommen, auch so einen ganz großen Support dahinter bekommen hat, dass die Spione, die das betreiben, auch sehr gute Konzepte inzwischen haben, wie sie mit diesen Ergebnissen umgehen. Und die dann in Produkte relativ schnell umlegen. Wir haben jetzt relativ häufig schon gehört, dass gestohlene Produkte zwei, drei Monate später schon von irgendeiner asiatischen Konkurrenz auf dem Markt waren. Und wir haben inzwischen auch Geschichten von großen Firmen, die wirklich in ihrem Kerngeschäft verdrängt wurden und nicht mehr exportfähig sind.
Zerback: Sie sprechen jetzt von großen Firmen. Wie steht es denn da um mittlere oder auch kleine Unternehmen? Da hört man ja oft, die seien da gar nicht so richtig gewappnet, weil die nicht annehmen, überhaupt Ziel einer solchen Ausspäh-Attacke zu sein. Ist dem so?
Gaycken: Ja, das ist definitiv so. Das ist auch eines der größeren Probleme. Gerade die kleinen mittelständischen Unternehmen haben natürlich auch gar kein Geld, um sich jetzt eine große eigene IT-Sicherheitsabteilung zu leisten, sind aber natürlich ein ganz wichtiger Innovationsmotor in Deutschland und haben teilweise sehr wichtige und sehr wertvolle Dinge erforscht und entwickelt. Und entsprechend wird da auch viel geklaut.
Zerback: Wie müssen die das denn schützen? Wenn Sie sagen, das kostet viel, da ist viel Manpower dahinter. Wofür muss man da viel Geld ausgeben?
Gaycken: Na ja, im Grunde genommen kann man sich schon mit einfachen organisatorischen Maßnahmen ganz gut behelfen. Wenn man seine Geheimnisse nicht irgendwie im Internet hat, das hilft schon mal sehr viel, wenn man da richtig stringent darauf achtet, dass da auch nichts passieren kann. Da gibt es eine ganze Reihe von Hilfestellungen, unter anderem auch von Bundesbehörden. Davon abgesehen: Wenn man dann tatsächlich doch irgendwie an externe Netzwerke heran muss, dann muss man ein bisschen tiefer in die Tasche greifen und Spezialtechnologien kaufen. Wir haben auch an der NSA gesehen, dass die natürlich ganz erhebliche Mittel zur Verfügung haben, dass die auch in viele Dinge einbrechen können, die bislang für hoch sicher gehalten wurden, sodass da auch eine ganze Reihe von Konzepten überhaupt erst noch neu entwickelt werden müssen.
Zerback: Jetzt reden wir nur von Technik. Vielleicht mit Blick auf die Uhr noch mal zum Schluss gefragt: Da gibt es ja auch einen Faktor Mensch. Wie groß ist denn da die Bedrohung durch Mitarbeiter, die einfach selbst die Daten nach außen schmuggeln?
Gaycken: Ja, das ist leider auch relativ groß. Man hört auch immer wieder viele Geschichten von entweder verärgerten Mitarbeitern, die dann mal einen USB-Stick voller Daten mitgehen lassen, oder auch von irgendwelchen Praktikanten aus dem Ausland, die dann plötzlich mit ein paar Hard Drives unterm Arm verschwunden sind. Das ist nach wie vor auch noch ein empfindlicher Vektor und in dem Fall ist es auch häufig so, dass die Werte, die dann gestohlen werden, sehr viel größer sind, weil die ja eine Weile Zeit haben, sich da umzusehen. Die wissen, was wertvoll ist, und die nehmen dann auch gleich sehr viel mehr mit.
Zerback: Der komplette Schutz, der existiert nicht – Sandro Gaycken war das, IT-Sicherheitsexperte. Er berät auch die Bundesregierung und ist Informatiker an der FU Berlin. Herr Gaycken, ich danke Ihnen für das Gespräch.
Gaycken: Gerne.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.