Neubiberg – Er werde den Mann, der Tür und Tor für Wirtschaftsspionage geöffnet hat, Herrn Weber nennen, sagt Maik Pawlowsky. Weber ist ein norddeutscher Rüstungsmanager, Pawlowsky beim Bundesamt für Verfassungsschutz zuständig für Cyber- und Spionageabwehr.
Weber sei im Job unzufrieden gewesen und habe Jobportale durchforstet. „Da hat sich der Recruiter eines Kfz-Herstellers gemeldet“, erzählt der Verfassungsschützer in Räumen der Bundeswehr-Universität in Neubiberg. Der habe ihm eine Datei mit Infos zum verlockenden Jobangebot geschickt, die sich aber nicht öffnen ließ. Auf dem Privatrechner des Managers fehle wohl ein Update, meinte der Recruiter. Sein Rechner in der Firma sei aber sicher auf dem neuesten Stand. Weber öffnet die Datei dort. Der Verfassungsschützer beschreibt einen typischen Fall von Spionage per Social Engineering kombiniert mit Technik. „Es war kein Recruiter, sondern ein Hacker“, erklärt Pawlowsky. Und in der Datei sei ein Trojaner versteckt gewesen, der in der Rüstungsfirma ein Einfallstor zum Abzapfen von Know-how und Geheimnissen geöffnet habe. Es sei nicht nur Spionagetechnik, sondern auch der Faktor Mensch, der regelmäßig dafür sorge, meint Günther Schotten. „Deshalb ist eine human firewall so wichtig“, betont der Geschäftsführer der Allianz für Sicherheit in der Wirtschaft (ASW).
Firmenmitarbeiter sind damit gemeint, ohne deren Akzeptanz und Mitarbeit von Sicherheitskonzepten es keinen Schutz vor Cyberangriffen gebe. Schotten und Pawlowsky haben sich mit anderen Sicherheitsexperten in Neubiberg getroffen, um genau über so ein Konzept zu diskutieren und zwar nicht irgendeines. Es geht um die Vorstellung von Eckpunkten einer nationalen Wirtschaftsschutzstrategie für Firmen und Forschungseinrichtungen deutschlandweit, die gerade im Bundesinnenministerium entsteht. Dort dafür zuständig ist Staatssekretärin Rita Schwarzelühr-Sutter. „Cyberangriffe werden nicht nur immer häufiger, sondern auch vielfältiger“, weiß sie und wirbt für den Aktionsplan Wirtschaftsschutz 2024. Der soll Wirtschaftsschutz konkret umsetzen und das möglichst noch dieses Jahr.
„Wir haben gute Sicherheitsbehörden“, sagt Schwarzelühr-Sutter. Aber untereinander koordiniert seien die bislang wenig, räumt sie ein und will das nun ändern. Wenn alles Wissen geteilt ist, müsse noch ein weiteres Element dazu, um die deutsche Wirtschaft und ihre Lieferketten effektiv zu schützen. Das ist ein enger Schulterschluss mit den heimischen Firmen. „Die Umsetzung gelingt nur in den Unternehmen selbst“, betont die SPD-Politikerin. Bei ihr und damit dem Innenministerium als koordinierender Instanz sollen am Ende alle Fäden zusammenlaufen. Um das rasch zum Funktionieren zu bringen, wird der Unterstützungsbedarf von Start-ups, Mittelstand und Großkonzernen sowie Forschungseinrichtungen ermittelt.
Zugleich wird eine Plattform zum Austausch aller staatlichen und privatwirtschaftlichen Akteure aufgebaut. Davor stehen Hürden. Das fängt damit an, dass sich angegriffene Firmen den Behörden nicht immer anvertrauen. In Neubiberg räumen selbst Sicherheitschefs großer Firmen ein Fremdeln mit staatlichen Stellen ein. „Wir sind nur dann gut, wenn wir Informationen vom Unternehmen erhalten“, stellt Pawlowsky klar.
Wer erfolgreich ausspioniert wurde, hat oft Angst vor Reputationsverlust oder Geheimhaltungsbedürfnisse auch gegenüber Behörden. „Wir können zusichern, alles vertraulich zu behandeln und müssen nicht an Polizei oder Staatsanwaltschaft melden“, sagt der Verfassungsschützer.
Der Blick von Carlo Masala ist auf die Maschinenräume der Unternehmen gerichtet. „Wenn die Mitarbeiter nicht mitmachen, kann keine Resilienz entstehen“, sagt der Professor für internationale Politik an der Bundeswehr-Universität. Da fehle es trotz allem oft immer noch am Risikobewusstsein bis in Chefetagen hinauf.