Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > „Wirtschaftsschutz: Herausforderung und Chance für Unternehmen“ – Rückschau auf das Symposium von BfV und LfV

„Wirtschaftsschutz: Herausforderung und Chance für Unternehmen“ – Rückschau auf das Symposium von BfV und LfV

Spionageabwehr     10 | 2015

Bundes- und Landesamt für Verfassungsschutz haben Ende Juli 2015 im Neuen Schloss in Stuttgart das gemeinsame Symposium „Wirtschaftsschutz: Herausforderung und Chance für Unternehmen“ durchgeführt. Ziel war es, Firmen sowie wirtschaftsnahe Kammern und Verbände einerseits über Gefahren durch Wirtschaftsspionage und andererseits über die Beratungsmöglichkeiten des Wirtschaftsschutzes zu informieren. In mehren Fachvorträgen und einer Podiumsdiskussion von Vertretern der deutschen Sicherheitsbehörden wurden die aktuelle Gefährdungslage, Cyberangriffe, der Risikofaktor Mensch sowie die für die Bundesrepublik Deutschland relevanten internationalen Gefahren erörtert. Neben den klassischen Verdächtigen wie der Russischen Föderation und der Volksrepublik China kamen auch die umstrittenen Aktivitäten westlicher Verbündeter, insbesondere der US-amerikanischen National Security Agency (NSA), zur Sprache. Darüber hinaus ergab sich ein reger Erfahrungsaustausch der rund 180 Veranstaltungsteilnehmer untereinander und mit den beteiligten Behörden.

Beate Bube, Präsidentin des Landesamts für Verfassungsschutz (LfV), machte gleich zu Beginn des Symposiums deutlich, dass Wirtschaftsschutz eine Herausforderung für die gesamte Gesellschaft sei. Aus diesem Grund sollten neben Unternehmern auch die Politik, Verwaltung, Justiz sowie vor allem die Sicherheitsbehörden eine tragende Rolle bei der Aufrechterhaltung einer leistungs- und konkurrenzfähigen Wirtschaft einnehmen. Insbesondere in Baden-Württemberg mit seinen innovationsstarken und forschungsintensiven Betrieben könne die Bedeutung dieses Themas nicht hoch genug eingeschätzt werden. Bube betonte, dass gerade in kleineren und mittleren Unternehmen, in denen die Informationstechnik (IT) nicht zum Kerngeschäft gehöre, das Problembewusstsein für die mit der IT-Nutzung einhergehenden Gefahren nicht immer vorhanden sei. Folglich müssten diese, auch mit der Presse als Multiplikator, besser über Unterstützungsangebote staatlicher Stellen hinsichtlich Schutzmaßnahmen gegen unlauteren Informationsabfluss informiert werden.

Die Spionageabwehr arbeite – sowohl in einer engen Kooperation des Verfassungsschutzes von Bund und Ländern als auch über den Austausch mit dem Bundesnachrichtendienst (BND) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – daran, präzise Lagebilder zu erstellen, um der Wirtschaft eine korrekte Einschätzung der Gefahrenlage anbieten zu können. Bei übereinstimmender Interessenlage würden auch Informationen ausländischer Nachrichtendienste einbezogen. Präsidentin Bube wies darauf hin, dass sich mehr als 600 Unternehmen des Landes Baden-Württemberg in einer sicherheitsmäßigen Betreuung des Wirtschaftsschutzes befänden; etwa die Hälfte dieser Firmen bearbeite staatliche Verschlusssachen und stehe damit in einem formellen Betreuungsverhältnis.

Der baden-württembergische Innenminister Reinhold Gall thematisierte in seiner Keynote zunächst die Veröffentlichungen Edward Snowdens aus dem Jahr 2013. Diese hätten bei Bürgern, Regierung und der Wirtschaft zu einer deutlich spürbaren Verunsicherung geführt; das verlorengegangene Vertrauen müsse durch kompetente Zusammenarbeit und Aufklärung der Vorwürfe wiederhergestellt werden. Eine umfassende Gefahrenabwehr im Spionagebereich dürfe sich nicht ausschließlich auf die „National Security Agency“ (NSA) oder sonstige Geheimdienste, insbesondere die Russische Föderation und China, konzentrieren, sondern es müssten auch andere Spionagerisiken wie die Konkurrenzausspähung Beachtung finden. Darüber hinaus ging Minister Gall auf die Risiken der zunehmenden Digitalisierung ein. Neben den technischen Aspekten sei insbesondere der Faktor Mensch eine bedeutende Gefahr für die Informationssicherheit. Gall resümierte, dass ein qualifizierter Informationsschutz und ganzheitlich aufgestellte Informationssicherheitsstrategien von Wirtschaft und staatlichen Stellen die Prämisse für eine erfolgreiche Spionageabwehr seien.

 

Immer mehr Ausspähungsmöglichkeiten

Kern des Programms waren drei Fachvorträge. Darin wurde das Aufgabenfeld Wirtschaftsschutz erläutert und das Fachwissen der Sicherheitsbehörden in diesem Bereich umrissen.

Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz (BfV), hob in seinem Vortrag die Bedeutung einer ganzheitlich angelegten Basis für einen erfolgreichen Wirtschaftsschutz hervor. Dieser sei wiederum elementar für ein gelingendes Wirtschaften der Unternehmen. Der Verfassungsschutz habe den Auftrag, den Firmen als Partner zur Seite zu stehen. Insbesondere vor den Enthüllungen Edward Snowdens hätten einige Unternehmer Sicherheitsbemühungen als lästigen Kostenfaktor erachtet, sagte Maaßen.

Die deutschen Sicherheitsbehörden hätten dagegen stets vor der Annahme gewarnt, dass die Spionage mit dem Ende des Kalten Krieges beendet sei. Gerade durch die stetige Weiterentwicklung der IT und der elektronischen Angriffe würden die Ausspähungsmöglichkeiten immer zahlreicher. Unabhängig kämen bis heute auch die klassischen Spionagemethoden zur Anwendung. Wenig ratsam sei es, einen Tunnelblick auf die westlichen Dienste zu richten, da die meisten geheimdienstlichen Aktivitäten gegen Deutschland nach wie vor von der Volksrepublik China und der Russischen Föderation ausgingen. Im Einzelfall müssten die Attacken ganzheitlich betrachtet werden. Oft würden Cyberangriffe mit klassischen Aufklärungsmethoden verbunden, z. B. in Fällen von Social Engineering] oder Social Hacking [Die Methode, mittels Social Engineering in ein fremdes Computersystem einzudringen, um vertrauliche Daten einzusehen, wird als Social Hacking bezeichnet].

Maaßen definierte sechs Maßnahmen als existenziell für eine erfolgreiche Arbeit des Wirtschaftsschutzes: die Identifizierung der „Kronjuwelen“ bzw. der grundlegenden Firmengeheimnisse, die Regelung von Zugangsrechten für IT-Systeme, Erstellung eines IT-Sicherheitsplans, die Inkludierung mobiler Endgeräte, die Einbeziehung der Mitarbeiter in Form einer „Human Firewall“ sowie die gewissenhafte Ausgestaltung von Auslandskontakten.

Bezüglich des letztgenannten Aspekts klärte der BfV-Präsident am Beispiel China über die umfassenden Rechte und Möglichkeiten ausländischer Nachrichtendienste auf und gab Empfehlungen für präventive Gegenmaßnahmen. So sei es sinnvoll, auf Dienstreisen in die betreffenden Staaten nur das Nötigste mitzunehmen, die Kommunikation ebenso auf das Wesentliche zu beschränken und mobile Endgeräte wie Telefone nicht in den Hotelsafe zu geben – oder Einwegmobiltelefone einzusetzen, wie sie von der Bundesregierung verwendet werden.

 

Sichere Kommunikation ist notwendig

Im Anschluss folgte der Vortrag von Guido Müller, dem Vizepräsident des Bundesnachrichtendienstes (BND). Er stellte zunächst klar, dass seine Behörde entgegen verschiedener Medienberichte keine Wirtschaftsspionage betreibe. Hierfür gebe es durchaus Belege, die er allerdings aus Geheimhaltungsgründen nicht offenlegen könne. Darüber hinaus konstatierte er, dass es den Bedarf bzw. die Notwendigkeit einer gesteigerten Cybersouveränität und sicherer Kommunikation gebe. Zudem forderte er mehr „Schwarmintelligenz“ und bat insbesondere die Unternehmer darum, ihr Wissen untereinander auszutauschen.

Müller informierte die Teilnehmer sowohl über die neuen Spionagemöglichkeiten mittels der sich permanent weiterentwickelnden IT-Angriffe als auch über althergebrachte Spähmethoden. Als Beispiele nannte er Indiskretionen bei Gelegenheiten wie Ingenieursstammtischen, bei denen auch unbeteiligte Anwesende etwaig erörterte Betriebsinterna mitanhören könnten. Ebenso trügen Unternehmer über den Firmenflyer oft betriebseigene Informationen nach außen, die Konkurrenten wertvolle Anhaltspunkte für Plagiate liefern könnten. Ähnliches gelte für Messeauftritte oder einen allzu sorglosen Umgang mit Firmengeheimnissen, die in vermeintlich sicheren Hotelzimmern zurückgelassen würden.

Nach diesen Ausführungen informierte der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, über die Risiken und Sicherungsmöglichkeiten in der IT. Zuerst wies er darauf hin, dass Gefährdungen durch Cyberattacken jeden betreffen könnten – sowohl Unternehmer als auch den Staat oder Privatpersonen. Die Kenntnis der aktuellen Gefährdungslage und das Ziehen passgenauer Konsequenzen, all das unter dem Blickpunkt der Vernetzung, seien das entscheidende Moment bei der wirksamen Bekämpfung von Cyberangriffen.

Auch Könen thematisierte in seinem Vortrag die Informationen von Edward Snowden über die Aktivitäten von NSA und der britischen Government Communications Headquarters (GCHQ). Diese hätten den Blick wieder auf die Gefahren der Spionage und insbesondere die Probleme im Zusammenhang mit elektronischen Angriffen gelenkt.

Hierbei seien zwei Angriffsvektoren zu unterscheiden: Die erste Vorgehensweise ziele auf die sogenannte strategische Aufklärung ab. Überall dort, wo Daten über internationale Netzwerke geleitet werden, bestehe an länderübergreifenden Knotenpunkten die Möglichkeit, Daten zu erfassen; dies könnten sowohl Nachrichtendienste und Unternehmen als auch Internetdienstleister nutzen. Die Sensibilität der abgeschöpften Daten läge darin, dass sie Aufschluss über die Aufstellung eines Unternehmens geben könnten und Interaktionsnetzwerke nachvollziehbar würden. Die andere Methode umfasse individuelle Angriffe. Diese wurden als hochspezialisierte Herangehensweise charakterisiert, in deren Folge auch Einzelpersonen identifiziert und entsprechend maßgeschneidert attackiert werden könnten.

 

„Digitale Sorglosigkeit“ als Gefahr

Der BSI-Vizepräsident erinnerte daran, wie wichtig individuelle Schutzmaßnahmen seien. Gleichzeitig wies er auf die Gefährdungsproblematik bei Standards und Implementierungen hin; im Gegensatz dazu wurden Algorithmen und Protokolle als weitestgehend vertrauenswürdig eingestuft. Könen mahnte, auf zertifizierte Produkte zu achten. Bezüglich Risiken jenseits der Software wies er auf die Manipulationsmöglichkeiten an Hardware wie Monitoren, Tastaturen und einzelnen Routern hin. Derartige Manipulationen seien nur sehr schwer zu entdecken und böten den Eindringlingen vielfältige Möglichkeiten, mitzuhören und mitzulesen. Dies zu ändern sei eine große Herausforderung für die Zukunft.

Die digitale Sorglosigkeit sei gefährlich und eine unmittelbaren Reaktion auf Sicherheitsvorfälle daher wichtig, so Könens Zwischenbilanz. Für letzteres böten sich einerseits allgemeine Sensibilisierungsmaßnahmen und andererseits Praxisübungen an, die auf greifbare Fallszenarien abgestimmt sein sollten. Zudem stünden die Sicherheitsbehörden sowohl als Kontaktstelle für Informationsgespräche als auch bei konkreten Verdachtsfällen zur Verfügung.

Bei den weitergehenden Beschreibungen unmittelbar fassbarer Cybergefahren hob Könen den Identitätsdiebstahl und die sogenannten „Advanced Persistent Threats“ (dt. „fortgeschrittene, andauernde Bedrohungen“) – insbesondere „Social Engineering“ – als besonders grassierende Problemstellungen hervor. Im Anschluss erläuterte er verschiedene Präventivmaßnahmen gegen die unterschiedlichen Bedrohungen. So sehe etwa das IT-Sicherheitsgesetz unter bestimmten Voraussetzungen eine Meldepflicht für IT-Sicherheitsvorfälle bei großen Unternehmen und kritischer Infrastruktur vor. Diese Informationen kämen gerade auch dem Mittelstand zugute, der in diesem Fall zwar selbst keiner Meldepflicht unterliege, jedoch über die Erkenntnisse, die neben anderen Quellen auch in die Lagebeschreibung einflössen, informiert werde.

Unabhängig davon äußerte er den Wunsch nach einer möglichst breiten freiwilligen Zusammenarbeit aller Akteure bei diesem Thema; als positives Beispiel nannte er die im Jahr 2013 gegründete „Allianz für Cybersicherheit“. Vernetzung und Kooperation seien wertvoll und zwingend notwendig, sowohl auf horizontaler als auch auf vertikaler Ebene. Dies betreffe z. B. die Industrie- und Handelskammern, Verbände und andere regionalisierte Einrichtungen der Wirtschaft, aber natürlich auch die Koordination der Arbeit von Bund und Ländern.

Zum Abschluss seines Vortrags subsumierte der BSI-Vizepräsident die Notwendigkeiten hinsichtlich Prävention unter den folgenden Schlagworten: IT-Grundschutz, IT-Sicherheitskonzepte, Verschlüsselung, Sensibilisierung, Ausbildung und Training der Mitarbeiter sowie verstärktes IT-Sicherheitsmanagement.

 

Appell zum Austausch zwischen Wirtschaft und Behörden

Nach den Fachvorträgen folgte eine Podiumsdiskussion der Referenten Beate Bube, Hans-Georg Maaßen, Guido Müller und Andreas Könen; Moderatorin war die SWR-Wirtschaftsredakteurin Eva Laun. Die Runde beschäftigte sich zunächst mit der Abgrenzung der Tätigkeiten von Bundesamt und Landesamt für Verfassungsschutz. LfV-Präsidentin Bube erklärte hierzu, dass ihre Behörde für Unternehmen in Baden-Württemberg der erste Ansprechpartner in puncto allgemeine Auskünfte und Prävention sei. Das Landesamt biete außerdem Hilfe bei der Erstellung von individuellen Informationsschutzkonzepten und sei mit der konkreten Verdachtsfallbearbeitung befasst. Hans-Georg Maaßen ergänzte, dass das Bundesamt bei Bedrohungen aktiv werde, die über die Zuständigkeit eines einzelnen Bundeslandes hinausgingen oder internationalen Charakter besäßen. Es fungiere auch als Zentralstelle, die zum einen die Zusammenarbeit mit europäischen Inlandsnachrichtendiensten und zum anderen die Kooperation mit anderen Bundesbehörden unter sich vereinigt.

Das konkrete Aufgabenfeld des Bundesnachrichtendienstes umriss dessen Vizepräsident Guido Müller mit den folgenden Aspekten: Lagebilder erstellen, Detektierung von Malware aus dem Ausland und Wissensvermittlung an die Bevölkerung.

Das Bundesamt für Sicherheit in der Informationstechnik, so Vizepräsident Andreas Könen, fördere präventiv die Informations- und Cyber-Sicherheit, um den sicheren Einsatz von IT- und Kommunikationstechnik in der Gesellschaft zu ermöglichen und voranzutreiben. Mit Unterstützung des BSI solle IT-Sicherheit in Verwaltung, Wirtschaft und Gesellschaft als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden. So erarbeite die Behörde etwa praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Risikovermeidung zu unterstützen. In die Verantwortung des BSI falle außerdem, neben anderem, der Schutz der IT-Systeme der Bundesverwaltung mit vielfältigen Maßnahmen.

Die Zuhörer beteiligten sich an der Diskussion mit unterschiedlichen Fragen. Besonders interessierte sie der Gesamtüberblick hinsichtlich Aufgaben, Tätigkeiten und Perspektiven der beteiligten Behörden.

Am Ende der Podiumsdiskussion wandte sich die Gastgeberin Beate Bube noch einmal an die Vertreter der Wirtschaftssicherheit und appellierte an sie, den Kontakt und Austausch mit den Sicherheitsbehörden zu suchen. Dabei betonte sie nochmals das Angebot, der Wirtschaft das gebündelte Wissen aus verschiedensten Quellen bereitstellen zu können. Darüber hinaus sei der Verfassungsschutz nicht dem Legalitätsprinzip unterworfen und daher nicht verpflichtet, Informationen über bekanntgewordene Straftaten wie Ausspähungsaktivitäten an die Strafverfolgungsbehörden – und damit eventuell die Öffentlichkeit – weiterzugeben. Sie schloss ihre Ausführungen mit den Worten „Vertraulichkeit schafft Vertrauen“.

Parallel zu Vorträgen und Podiumsdiskussion informierten die Verfassungsschutzbehörden und das BSI an zwei Ständen über ihre Arbeit. Hier kam es ebenfalls zu einem fruchtbaren Austausch mit den Besuchern des Symposiums.

Weitere Informationen finden Sie auf den folgenden Internetseiten:

Bundesamt für Verfassungsschutz: www.verfassungsschutz.de

Landesamt für Verfassungsschutz Baden-Württemberg: www.verfassungsschutz-bw.de

Sicherheitsforum Baden-Württemberg: www.sicherheitsforum-bw.de

Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de