„Die Hälfte aller Angriffe wird durch eigene Mitarbeiter initiiert!“

In dieser Woche wurde sie gestartet, die „Initiative Wirtschaftsschutz“. Vor ausgesuchten Gästen launchten der Bundesminister des Innern, die Präsidenten seiner ihm unterstellten Sicherheitsbehörden und Vertreter aus der Wirtschaft das Informationsportal.
Die Zahlen sind gewaltig: 50 Milliarden Euro – so hoch ist der jährliche Schaden bei deutschen Unternehmen durch Cyberangriffe. Jedes zweite Unternehmen in Deutschland ist Opfer von Cyberattacken, jedoch nur ein Drittel der Unternehmen baut überhaupt irgendwelche Schutzmechanismen auf. Und noch schlimmer: Wer meint, eine Cyberattacke wird sofort bemerkt, der irrt gewaltig. Rund 200 Tage dauert es, bis der Angriff überhaupt erst entdeckt wird. In der Zwischenzeit treiben Kriminelle, Terroristen und Spione munter ihr Unwesen in den digitalen Archiven von Unternehmen. Heute gibt es wohl keine Idee oder Kommunikation, die nicht digital abgelegt wird. Alles das steht den Verbrechern zur Verfügung. Und wenn die Cyberattacke nun endlich entdeckt wird? Dann herrscht meist Ratlosigkeit in den Unternehmen.
Die Bereitschaft, den Kontakt mit den Profis in den Sicherheitsbehörden zu suchen, ist in Deutschland sehr mangelhaft ausgeprägt. „Sekundärschaden durch Öffentlichkeit“, wie es ein Experte bei der Veranstaltung nannte, also die Angst vor Reputationsverlust oder die Angst vor der Weitergabe unternehmensinterner Daten an Geheimdienste und Behörden. Der Vertrauensverlust in die Behörden ist massiv. Unternehmen fürchten, dass die Dienste die Daten und Erkenntnisse im Rahmen der Strafverfolgung nur zu leichtfertig mit fremden Diensten teilen und damit den Schaden noch einmal verschlimmern.
Aber die Schuld an dem Dilemma liegt nicht nur bei den Behörden. Bundesinnenminister de Mazière stellt fest: „Die Hälfte aller Angriffe wird durch die eigenen Mitarbeiter initiiert.“ Zu oft werden private und dienstliche Dinge miteinander vermischt. Dr. Hans-Georg Maaßen, Präsident des Bundesverfassungsschutzes schilderte den folgenden Fall: Durch „social engineering“ (Spionage im persönlichen Umfeld des Opfers) hatten die Angreifer herausgefunden, dass die Zielperson vom Arbeitsplatzrechner häufig die Online-Speisekarte des Lieblingsitalieners besucht. Diese wurde mit einer Schadsoftware versehen. Beim nächsten Aufrufen der Website vom Unternehmens-Rechner gelangte die Software in das System der Firma.
Um die Aufmerksamkeit in den Unternehmen für Gefahren solcher Art zu erhöhen, hat sich die Initiative gebildet. Die Plattform ist aufrufbar unter: https://www.wirtschaftsschutz.info
Ob sich die Wünsche erfüllen, bleibt fraglich. Erstens ist es nicht die erste Initiative dieser Art. Zweitens fand die sogenannte Präsentation hinter verschlossenen Türen statt. Die Moderatorin äußerte ihr Wunschdenken, als sie die „vielen Vertreter von kleinen und mittelständischen Unternehmen im Publikum“ um Fragen und Beiträge bat. Man kann sicher nicht ausschließen, dass der ein oder andere interessierte Unternehmer anwesend war. Der übergroße Teil der Gäste waren jedoch die üblichen Vertreter der sicherheitspolitischen Community und beteiligte Projektpartner. Der Startschuss der Initiative war gleichzeitig das Ende der beruflichen Laufbahn von Gerhard Schindler als BND-Chef. Dessen Abberufung wurde direkt nach der Veranstaltung bekannt. Fazit: Gute Initiative, professioneller Startschuss in der Mitte Berlins. Ob aber die Reichweite und Wirksamkeit nun höher sein wird, als bei anderen Initiativen dieser Art, wird sich noch zeigen müssen.