Jörg Peine-Paulsen, Harald Bunte,
Niedersächsisches Ministerium für Inneres und Sport – Abteilung 5
Verfassungsschutzbehörde, Arbeitsbereich Wirtschaftsschutz, Hannover
Innere Sicherheit ist heute nur als vernetzte Sicherheit möglich, in einem Zusammenspiel unterschiedlicher Akteure. Dies gilt umso mehr für den Arbeitsbereich Wirtschaftsschutz des Niedersächsischen Verfassungsschutzes und die Abwehr von Wirtschaftsspionage.
Die Möglichkeiten der Spionage im digitalen Zeitalter haben sich nicht nur rapide gewandelt: sie haben eine neue Dimension erreicht. Hierbei kann man nicht davon ausgehen, dass alte Angriffsmethoden fallengelassen werden. Im Gegenteil, auch die gute alte Romeo-Attacke bzw. Venus-Falle gibt es immer noch, sie wird heute nur mit vielen anderen unter dem Sammelbegriff „social engineering“[1]subsumiert, aber weiterhin genutzt.
- Wirtschaftsschutz für Industrie 4 .0
Die Aufgabe der Arbeitsbereiche Wirtschaftsschutz der Verfassungsschutzbehörden von Bund und Ländern kann hauptsächlich mit Prävention überschrieben werden. Ziel der Betreuung ist es, vorwiegend kleine und mittlere Unternehmen, wobei nicht die Quantität (die Beschäftigtenanzahl) sondern die Qualität (im Sinne von Innovationskraft) im Vordergrund steht, über die Spionagegefahren von technischen Möglichkeiten bis hin zum menschlichen Faktor zu beraten und Lösungswege aufzuzeigen.
Diese Präventionsarbeit geschieht grundsätzlich in einem doppelten 360° Blick.
Die möglichen Bedrohungen werden weder auf bestimmte Angreifer(-länder) eingeschränkt noch werden in den Angriffsszenarien Techniken ausgeschlossen. Industrie 4.0 erzeugt nun mit der Realisierung der Schlagworte „Smart Factory“, cyber-physikalische Systeme, Internet der Dinge, Wandlungsfähigkeit, Ressourceneffizienz und Integration von Kunden und Geschäftspartnern in Geschäfts- und Wertschöpfungsprozesse weitere Angriffsvektoren auf die Unternehmen, die sich dieser Wandlung stellen müssen.
- Bedrohungen durch Cyber-Crime
Beispielhaft für diese Bedrohungen seien hier zwei Fälle genannt: zum einen der Stuxnet-Angriff auf iranische Urananreicherungsanlagen mit erfolgreicher Manipulation und Beschädigung der Zentrifugen dieser Anlagen (seit 2010 öffentlich bekannt) und zum anderen die Cyberattacke auf eine Keksfabrik im August 2015, bei welcher die Produktion angehalten und dadurch die Anlage so weit zerstört wurde, dass der vertrocknete Teig nur noch durch das Heraustrennen der Rohrleitungen entfernt werden konnte. Beide Fälle zeigen sehr deutlich: die heutigen technischen Möglichkeiten tendieren eher in Richtung Sabotage und Erpressung als in Richtung Spionage.
Mit der zunehmenden Kopplung von Office-IT und Industrie 4.0-Produktionsanlagen steigt die Gefahr weiter. Mittlerweile sind einerseits Angriffe auf die Office-IT über die Produktionsanlage möglich, d.h. eine Firewall „vor“ der Office-IT ist gegen diese Attacke nutzlos. Andererseits wird die Ausspähung der Produktionsanlage über die Office-IT zu einer immer interessanteren Spionagequelle, da in der Industrie 4.0-Anlage mehr Informationen digital vorhanden und somit abzugreifen sind.
- Kooperation Land / Wirtschaft
Mit der Einrichtung des Arbeitsbereiches Wirtschaftsschutz beim Niedersächsischen Verfassungsschutz im Jahr 2000 war es Teil der konzeptionellen Ausrichtung, vertrauensvoll mit der niedersächsischen Wirtschaft zusammenzuarbeiten. Es sollte insbesondere den Bedrohungen durch Wirtschaftsspionage entgegengetreten und der Know-how-Schutz der Unternehmen gestärkt werden. In den letzten Jahren bekam dabei das Thema Cybersicherheit eine immer größere Bedeutung.
Um das Vertrauen der Unternehmen zu gewinnen und zu erhalten, hat der Arbeitsbereich Wirtschaftsschutz des Niedersächsischen Verfassungsschutzes in seinem Konzept Maßnahmen instrumentalisiert und dabei den Faktor Nachhaltigkeit herausgestellt. So werden Tagungen veranstaltet, Newsletter versendet und der wechselseitige Dialog gefördert. In seiner 15-jährigen Tätigkeit hat der Arbeitsbereich Wirtschaftsschutz mehr als 8.000 Unternehmen mit sicherheitsrelevanten Informationen erreicht. Zurzeit werden gut 900 innovative und technologieorientierte Unternehmen als feste Partner betreut. Diese Kooperationen beruhen auf Vertrauen, das nur durch Kommunikation und gemeinsames Handeln entstehen konnte.
In Vorträgen (80 im Jahr 2014) und individuellen Beratungsgesprächen (83 im Jahr 2014) ist das Thema „Elektronische Angriffe“ und die Möglichkeit der Ausspähung auch durch westliche Nachrichtendienste stets proaktiv angesprochen worden. Auch schon vor den „Snowden-Enthüllungen“ sind dabei das satellitengestützte Aufklärungssystem Echelon und die Ergebnisse des Untersuchungsausschusses des EU-Parlaments aus dem Jahr 2001 offen thematisiert worden.
Es ist ein gemeinsames Interesse von Staat und Wirtschaft, den illegalen Abfluss von technologischem Know-how zu verhindern. Das Wissen und die Innovationsfähigkeit der Unternehmen sind Grundlagen für den Erfolg der deutschen Wirtschaft. Dies wird sehr deutlich durch eine Studie des VDI aus 2014 dargestellt, welche die jährlichen Schäden durch Wirtschaftsspionage mit mindestens 100 Milliarden € angibt.
Der gleiche Focus gilt im Prinzip für die öffentliche Verwaltung. Auch hier sind permanente Bedrohungen gegeben, die durch die Attacke des Deutschen Bundestages der Öffentlichkeit bewusst geworden sind.
Im gleichen Sinne ist die Meldung aus Mitte 2015, dass bei einem Computerangriff auf eine US-Personalbehörde Daten von rund 22 Millionen Menschen erbeutet wurden, zu werten. Dieser außerdeutsche Fall ist von besonderer Bedeutung, da er das Gefahrenpotential von Datenabfluss aus öffentlichen Verwaltungen sehr gut verdeutlicht. Die Beute bestand hauptsächlich aus Daten von Personen, die einen Antrag auf eine Sicherheitsüberprüfung gestellt hatten!
Seit „Snowden“ und durch die jüngsten Meldungen zur möglichen Beteiligung des Bundesnachrichtendienstes (BND) an der Wirtschaftsspionage durch US-Amerikanische Nachrichtendienste ist eine Verunsicherung bei den Wirtschaftsunternehmen festzustellen, die sich durch gezielte Fragestellungen zu diesen Themen äußert.
Vertrauensverluste in den Verfassungsschutz hat der Arbeitsbereich Wirtschaftsschutz bei seiner Klientel jedoch noch nicht konstatieren müssen. Dabei ist sicherlich von Vorteil, dass sich der Verfassungsschutz in der niedersächsischen Wirtschaft als vertrauenswürdiger Partner und neutraler Dienstleister, losgelöst vom Strafverfolgungszwang, etabliert hat.
- Abwehr staatlicher Datenzugriffe
Viele fremde Staaten nutzen die Möglichkeit, durch gezielte elektronische Angriffe Informationen zu erlangen und das erworbene Wissen zu ihrem Vorteil zu nutzen.
In jüngster Vergangenheit sind bundesweit – so auch in Niedersachsen – elektronische Angriffe auf Unternehmen und Zulieferer aus verschiedenen Technologiebereichen offenbar geworden. Neben den im Jahr 2014 fortgesetzten Angriffen auf Großunternehmen sind in Niedersachsen auch diverse kleine und mittelständische Unternehmen betroffen, in denen die IT-Sicherheit bis dahin nur einen nachrangigen Stellenwert hatte.
Die Bearbeitung solcher elektronischen Angriffe stellt die Sicherheitsbehörden aufgrund der Anonymität des Angriffs und der oftmals nicht offensichtlichen Motivation der Angreifer vor Probleme. Der Niedersächsische Verfassungsschutz steht niedersächsischen Wirtschaftsunternehmen als Ansprechpartner zur Verfügung. Bei elektronischen Angriffen mit vermutetem nachrichtendienstlichem Hintergrund wird Beratung angeboten und gegebenenfalls werden auch Ermittlungen durchgeführt. Fälle von „Cybercrime“, bei denen ein solcher nachrichtendienstlicher Verdacht ausgeschlossen werden konnte, werden in Absprache und nur mit dem Einverständnis des Betroffenen an die Strafverfolgungsbehörden abgegeben.
Der Arbeitsbereich Wirtschaftsschutz ist sowohl im Rahmen der Cyber-Sicherheitsstrategie für Niedersachsen als auch auf Bundesebene mit dem Nationalen Cyber-Abwehrzentrum (NCAZ) und anderen Bundesbehörden vernetzt.
Die direkte lokale Zusammenarbeit mit dem Computer Emergency Response Team der niedersächsischen Landesverwaltung (N-CERT) und der Zentralen Ansprechstelle Cybercrime (ZAC) beim Landeskriminalamt Niedersachsen hat sich als sehr sinnvoll herausgestellt und wurde als Vorreiterbeispiel auf der Public IT-Security–Messe (PITS) im September 2015 in Berlin vorgestellt. Auch in dieser Kooperation wird die Wahrung der Vertraulichkeit vorangestellt, jedoch ist schon der Austausch von erkannten Angriffsstrategien und abstrakten Daten für alle Beteiligten von großem Nutzen.
Für die Unternehmen ist hilfreich, dass der Verfassungsschutz nicht dem Legalitätsprinzip unterliegt, also Sachverhalte mit strafrechtlich relevantem Hintergrund nicht zwingend der Staatsanwaltschaft bzw. der Polizei melden muss und anschließende Untersuchungen oder ein Strafprozess dazu führen könnten, dass der Sachverhalt bzw. der mögliche Sicherheitsvorfall öffentlich bekannt wird.[2] Diese Regelung (Nutzen des sog. Opportunitätsprinzips) führte zu einer Vielzahl von Hinweisen auf sicherheitsrelevante Vorfälle mit möglichen Know-how-Verlusten, welche sonst, z.B. aus Furcht vor Imageschäden, von den betroffenen Firmen nicht gemeldet worden wären.
Häufig war die Informationstechnologie von Unternehmen betroffen. In mehreren Fällen waren Firmennetzwerke von Schadsoftware befallen. Nachrichtendienstliche Steuerungen waren in diesen Fällen nicht auszuschließen.
In einem Fall bekam ein Privatermittler anonym per Mail den Auftrag, ein bestimmtes Unternehmen in Niedersachsen auszuspionieren. Die Mail war über einen russischen Provider versandt worden.
Anderen Hinweisen zufolge gelang es unbekannten Tätern, mit manipulierten E-Mails Geschäftspartner soweit zu täuschen, dass Veränderungen der Zahlungswege der Unternehmen vorgenommen wurden. Auf diesem Weg wurden hohe Geldbeträge auf fremde Konten umgeleitet. Die Gelder mussten als verloren betrachtet werden. In jüngster Vergangenheit konnte durch den Arbeitsbereich Wirtschaftsschutz eine dolose Auslandsfinanztransaktion durch Sofortmaßnahmen rückabgewickelt werden und mit einem verbliebenen minimalen Restschaden das Geld wiederbeschafft werden.
Der Niedersächsische Verfassungsschutz präsentiert seine Tätigkeiten im Arbeitsbereich Wirtschaftsschutz durch Teilnahme an Messen (z.B. CeBIT, Security Essen oder bei Hausmessen von Systemhäusern). Im öffentlichen Bereich wird das Angebot durch die jährlich vom Arbeitsbereich Wirtschaftsschutz ausgerichtete Wirtschaftsschutztagung komplettiert.
Der Präsident des Bundesamtes für Verfassungsschutz, Herr Dr. Hans-Georg Maaßen, führte am 21. Juli 2015 dazu folgendes aus[3]:
„Lange Zeit wurden Warnungen des Verfassungsschutzes vor Spionage wenig ernst genommen. Sie wurden eher belächelt oder als Relikte einer vergangenen Zeit diffamiert. Als Versuch einer Behörde, die eigene Existenz zu rechtfertigen. Diese Zeiten sind vorbei.“
[1] Social Engineering bezeichnet eine Methodik zur Verhaltensmanipulation. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.
[2] Bei schweren Straftaten besteht jedoch die Verpflichtung, Polizei bzw. Staatsanwaltschaft zu informieren.
[3] Auszug aus der Rede von BfV-Präsident Dr. Hans-Georg Maaßen zum Thema „Ganzheitlicher Wirtschaftsschutz: Unternehmerische Notwendigkeit und Auftrag für den Verfassungsschutz“ beim Symposium Wirtschaftsschutz „Wirtschaftsschutz: Herausforderung und Chance für Unternehmen“ am 21. Juli 2015 in Stuttgart.