Aber was, wenn Geheimdienste Daten auslesen und damit die eigene Wirtschaft fördern? Die Sache mit der staatlichen Spionage ist die, dass sie in den Regionen der Welt unterschiedlich stark ausgeprägt ist - vor allem rechtlich. Die USA haben hier die besten Möglichkeiten. Ein Großteil aller Cloud-Provider sitzt in den Vereinigten Staaten oder hat zumindest eine große Niederlassung dort. Die Infrastruktur - ob für das Internet oder in Form von Sicherheitskomponenten - stammt meist von amerikanischen Unternehmen.
Maßnahmen, wie absichtlich präparierte Geräte oder auch die Nichtveröffentlichung bekannter Sicherheitslücken, können hier problemlos zum eigenen Vorteil genutzt werden. Die amerikanische Regierung bzw. ihr Geheimdienst hat sogar die Möglichkeit, einfach in US-Rechenzentren hineinzuspazieren - einfach per dort geltendem Recht.
Der Verdacht der Synergienutzung liegt hier natürlich nahe. Denn Daten auf amerikanischen Servern, die möglicherweise sensible Informationen über Strategien, Entwicklungsrezepte, Kunden oder Preise ausländischer Unternehmen enthalten, eignen sich bestens zur Wirtschaftsförderung im eigenen Land. Viele deutsche, mittelständisch geprägte Unternehmen machen sich berechtigte Sorgen und möchten dieses Risiko natürlich nicht eingehen. Einige große Unternehmen haben verstanden, dass dies eine Geschäftsbarriere für die Einführung von Cloud-Services ist.
Es gibt auch einen konkreten Fall. Microsoft hat versucht, seine europäischen Kunden zu schützen und eine Klage in den USA angestrengt. Dadurch sollte verhindert werden, dass es zu einer Zwangsherausgabe von Daten kommt, die auf einem europäischen Server gehostet wurden. Das ist verständlich, denn wenn Unternehmen Daten herausgeben müssen, die per Europarecht geschützt werden müssten, dann schadet das den Geschäftsbeziehungen. Oder würden Sie Microsoft noch Unternehmensdaten für die Cloud anvertrauen?
Das Problem hat auch SAP erkannt. Die Forderung in diesem Zusammenhang - insbesondere der DSAG - ist: Die Politik muss dafür eine Lösung finden. Gemeinsame Terroristenabwehr ist absolut akzeptiert, aber Wirtschaftsförderung in den Staaten gefährdet Cloud-Anbieter und -Konsumenten.
Wenn sich keine politische Lösung findet, dann geht die zweite Forderung an die Provider. Sie müssen es technisch unmöglich machen, dass Daten überhaupt abfließen können. Das gilt auch für SAP: Wenn ich in Europa mit Clouds erfolgreich sein möchte, muss ich dafür Sorge tragen, dass diese Daten außerhalb Europas nicht greifbar sind.
Schlupflöcher für Nachrichtendienste
Das ist ein Dilemma, das unter anderem durch die Errichtung eines digitalen Binnenmarktes in Europa gelöst werden soll. Gerüchte, dass es innerhalb einer europäischen Harmonisierung erzwungene Schlupflöcher für Nachrichtendienste geben soll, halten sich aber immer noch hartnäckig. Und Schlupflöcher sind prinzipiell mal schlecht, weil sie eigentlich das Vertrauen in die Sicherheit der Datenkommunikation untergraben. Wenn ein Geheimdienst ein Schlupfloch nutzen kann, kann das auch ein Hacker.
Der einfachste Fall ist der Wechsel des Arbeitgebers. Jemand, der gerade noch beim Geheimdienst beschäftigt war, kann rein theoretisch zur "dunklen Seite der Macht" wechseln und verliert dabei nicht plötzlich seine Fähigkeiten und sein Wissen. Die Wahrscheinlichkeit, dass solche Schlupflöcher lange wirklich nur in staatlicher Hand bleiben, ist gering.
- Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist. - Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll. - Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen. - Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden. - Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister. - Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht. - Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen. - Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent. - Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern. - Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent. - Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen. - Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus. - Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how. - Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus. - Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen. - Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle. - Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden. - Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit. - Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.
Daher ist es umso wichtiger, dass wir in Europa unabhängiger werden, einen digitalen Binnenmarkt etablieren und unsere Systeme so autark wie möglich gestalten. Kommunikations-Hintertürchen in der Verschlüsselung sind dabei absolut kontraproduktiv. Kein Unternehmen, mit dem ich mich bisher ausgetauscht habe, hat Probleme damit, Daten freiwillig zur Verfügung zu stellen - allerdings nur, wenn sie dem Terrorschutz dienen. Bei sensiblen Firmendaten sieht das jedoch anders aus.
Wer hat den Schwarzen Peter?
Politikern, die die Verantwortung auf die Unternehmen selbst schieben, wenn sie ihre Daten in die Cloud legen, muss jedoch klar sein, dass wir uns im Zeitalter der Digitalisierung befinden. Landmaschinenhersteller zum Beispiel gestalten heute schon Teile ihres Supports digital. Wenn der Supportprozess ein an ihr Geschäftsmodell angelagerter Service ist und sie beispielsweise wissen müssen, wie lange Erntemaschinen oder Traktoren laufen und wann sie gewartet werden müssen, dann bietet es sich an, damit in die Cloud zu gehen. Immerhin kommen ihre Produkte überall auf der Welt zum Einsatz.
Aber wenn ich mich mit den entsprechenden Daten nun in einer Cloud befinde, zu der mein Wettbewerber dank guter Wirtschaftsförderung Zugang hat, dann liefere ich ihm quasi die Kunden frei Haus. Er weiß dann nämlich, welchen Bauern er wann und wie ansprechen muss, wenn einer meiner Traktoren kaputt ist. Das macht unsere Unternehmen angreifbar.
Lassen sich solche Modelle nicht sicher in der Cloud betreiben, verhindert das eine Digitalisierung der Geschäftsprozesse. Und jetzt sind wir genau an dem Punkt, wo Sicherheit die betriebliche Optimierung blockiert. Damit werden Unternehmen, die Internet of Things und Industrie 4.0 vorantreiben möchten, ausgebremst oder - im schlimmsten Fall - gefährdet. Die Verantwortung für Datensicherheit in Deutschland sollte daher nicht allein bei der Wirtschaft liegen.
Dr. Marco Lenck ist Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. Wie wichtig aber auch anfällig grenzübergreifende Prozesse für Unternehmen tatsächlich sind, erfährt er täglich als CIO bei der Döhler Gruppe. Durch seine langjährige Erfahrung als Vermittler zwischen den Fachbereichen und der IT global agierender Unternehmen kennt er die nötigen Rahmenbedingungen - sowohl an die Infrastruktur als auch an Sicherheit und Standards - genau. (bw)