Viele Staaten versuchen "alles zu machen, was irgendwie geht"

Moderation: Dieter Kassel · 24.07.2013
Der wohlhabende Süden ist stärker von der NSA überwacht worden, als Deutschlands Norden oder Osten. Ein Vorbote von Industriespionage? Der Informatiker Sandro Gaycken erklärt, warum mittelständische Unternehmen besonders gefährdet sind - und trotzdem erschreckend sorglos sind.
Dieter Kassel: Die NSA hat Internetverbindungen gerade in Deutschland besonders umfangreich überwacht, darüber wird seit Wochen diskutiert. Aber etwas untergegangen ist dabei die Meldung, dass merkwürdigerweise viel mehr Datenverkehr im Süden Deutschlands angezapft wurde als im Norden oder Osten. Das kann kein Zufall sein, denkt sich der Laie, das ist möglicherweise ein Hinweis auf Industriespionage, bemerkt der Fachmann. Mit einem solchen wollen wir jetzt reden. Sandro Gaycken ist Informatiker an der Freien Universität Berlin, forscht in der Arbeitsgruppe "Sichere Identität" und er berät auch die Bundesregierung. Schönen guten Morgen, Herr Gaycken!

Sandro Gaycken: Hallo!

Kassel: Wenn Sie Angst vor Wirtschaftsspionen hatten, dann haben deutsche Unternehmen bisher immer Richtung Osten geschaut, vor allen Dingen nach China. Nun haben wir Grund anzunehmen, die NSA macht das auch. Kann man also sagen, die Amerikaner machen genau das Gleiche wie die Chinesen?

Gaycken: Nein, so weit würde ich nicht gehen. Die Chinesen machen wirklich eine sehr breite Industriespionage, haben das auch strategisch sehr breit angelegt. Da nimmt man sozusagen, was man kriegen kann, wenn man zumindest den landläufigen Analysen in dem Bereich glaubt – richtig beweisen kann das natürlich niemand. Bei den Amerikanern oder generell bei Wirtschaftsspionage, die mehr so aus dem Westen kommt, auch von den europäischen Nachbarn, geht es dann mehr um ganz besondere Projekte, wo dann sehr viel Geld im Spiel ist oder wo es strategisch sehr wichtig ist. Da kann es durchaus mal vorkommen, dass dann auch unter Freunden mal spioniert wird.

Kassel: Dieser Schluss, den manche gezogen haben, aha, die NSA war an Internetverbindungen im Süden mehr interessiert als im Norden Deutschlands, ist ja logisch zu sagen, in Bayern wohnen nicht unbedingt mehr potenzielle Terroristen als in Schleswig-Holstein. Aber ist es schon schlüssig zu sagen, das ist ein Hinweis auf Industriespionage?

Gaycken: Das ist ein bisschen verfrüht zu sagen. Industriespionage läuft anders ab. Also, man kann diese Daten, die da so massenhaft abgegriffen werden, eigentlich nicht so richtig gut benutzen, um Industriespionage zu machen. Man kann es vielleicht benutzen, um Industriespionage ein kleines bisschen besser vorzubereiten, aber wann immer man an Hightech-Unternehmen ran will, muss man eigentlich sehr gezielte Angriffe machen. Also das erschließt sich nicht aus diesen reinen Metadatenanalysen. Und von daher ist das jetzt nicht unbedingt ein klarer Indikator dafür.

Kassel: Nun sollte ich ja glauben, wenn jemand eine große deutsche Firma anzapft, um deren Geheimnisse rauszufinden, dann ist das ja interessant zum Beispiel für Firmen in den USA, die ähnliche Produkte anbieten. Nun zapft aber ja zumindest manchmal auch der Geheimdienst an. Wie funktioniert denn dann die Weitergabe dieser Informationen? Weiß man das?

Gaycken: Das wissen wir nicht, da gibt es natürlich jetzt keine direkten Kooperationen. Wir wissen aus China zum Beispiel oder aus anderen Ländern, da gibt es so Modelle, dass das sozusagen Freelance-Hacker sind teilweise, die dann manchmal vielleicht in der Armee arbeiten und dann in ihrer Freizeit sozusagen noch Firmen hacken und das weitergeben. Das ist zumindest ein Modell, das so ein bisschen gerüchtehalber existiert. Wie das ansonsten läuft, weiß man nicht. Es waren sicherlich mal auch Nachrichtendienste in diese Aktivitäten involviert. Ob das dann aber nur Einzelpersonen waren, die dann von den Firmen angeheuert wurden oder ob es dann direkt irgendwelche halboffiziellen Kooperationen waren, das ist nicht so richtig bekannt.

Kassel: Ist es denn, wenn wir vielleicht auch wieder über China reden, immer nur Hightech oder sind es eher so die üblichen Tricks, dass jemand einfach bei der Betriebsbesichtigung versucht, Fotos zu machen und Ähnliches?

Gaycken: Das ist alles, also aus vielen Staaten kriegt man das volle Spektrum, die versuchen also alles zu machen, was irgendwie geht. Wir hatten auch schon Probleme mit ausländischen Studenten, die dann irgendwie programmiert haben in irgendwelchen Hightechunternehmen und dann mit ein paar Festplatten unterm Arm verschwunden sind und solche Dinge. Also, man nimmt jeden Sektor, der sich anbietet.

Kassel: Ich hab neulich eine Geschichte gehört, da soll jemand in einem großen deutschen Betrieb gesagt haben, Gast, ich würde euch gern noch was zeigen, eine Präsentation, aber ich hab die nur auf dem USB-Stick, müsste mal ganz schnell das irgendwo ausdrucken können. Das hat er gemacht, und dann kam von diesem USB-Stick ein Virus, der die Firma ausspioniert hat. Technisch hoch denkbar, die meisten USB-Sticks sind ja irgendwie verseucht, aber da frage ich mich dann doch, sollte nicht ein Unternehmen doch entsprechende Software haben, um so was zu vermeiden?

Gaycken: Solche Tricks gibt es natürlich sehr häufig. Ganz beliebt ist auch unter Geschäftsreisenden, wenn man nach China reist, da wird man dann beim Anfang des Meetings, wenn man seine Laptops alle aufgeklappt hat, gerade kommt einer ganz hektisch rein und sagt, der Direktor des Instituts ist da, wir müssen alle ganz schnell runter für ein Foto, der hat nur fünf Minuten Zeit. Dann stürmen alle aus dem Raum, dann dauert das unten eine Dreiviertelstunde und oben werden dann die Laptops ausgelesen beziehungsweise infiziert. Also solche Tricks gibt es massenhaft.

Und leider, muss man sagen, sind dann viele dieser Angriffe doch relativ schwer zu erkennen, wenn man nur so Standard-IT-Sicherheitsmaßnahmen drauf hat. Das sind natürlich auch Werkzeuge, die die Angreifer kennen in diesem Bereich, wo man dann sehr gut drum rum entwickeln kann. Man bräuchte also schon sehr spezialisierte und sehr fein-granulare Lösungen, und die leisten sich im Moment noch zu wenige Unternehmen.

Kassel: Viele Unternehmen, deren Spezialität es ist, kleine und mittlere Betriebe zu schützen, behaupten, gerade kleine und mittelständische Unternehmen seien das Hauptziel solcher Angriffe. Da sehe ich jetzt natürlich ein gewisses Interesse, so was zu behaupten. Ist es trotzdem wahr?

Gaycken: Das ist trotzdem wahr, ja. Also das ist eine Behauptung, die kommt auch aus der tatsächlichen Beobachtung. Wir haben eben das Problem, dass die kleinen und mittelständischen Unternehmen in Deutschland auch sehr viel forschen, also sehr viel interessantes Wissen produzieren, gleichzeitig aber natürlich nicht das Geld haben, sich jetzt eine große eigene IT-Sicherheitsabteilung zu leisten. Das macht dann meistens der Systemadministrator irgendwie noch mit nebenbei.

Das heißt also, dass diese Systeme schlecht gesichert sind. Und die meisten Industriespione sind relativ opportunistisch, das heißt, die gucken mal einfach, wo sie mit relativ wenig Aufwand reinkommen und was sie dann mitnehmen können. Und das sind dann in Deutschland halt oft die kleinen und mittelständischen Unternehmen, was aber nicht heißt, dass die großen keine Probleme hätten. Bei den großen haben wir dann halt sehr viel stärkere, sehr viel interessiertere, gezieltere Akteure, die auch da zugreifen, und auch da gibt es also wirklich immer noch massenhaften Datenabfluss.

Kassel: Wenn es jetzt schon passiert ist, kann man davon ausgehen, irgendwann merken sie es dann doch, oder gibt es auch Spionageaktionen, die bis zum bitteren Ende keiner bemerkt?

Gaycken: Also wir gehen davon aus, dass es eine ganze Reihe Sachen gibt, die wir nicht bemerken können. Wir können jetzt nicht sagen, wie hoch das Verhältnis Dunkelziffer zu erkannten Fällen ist, das ist immer schwierig zu sagen. Aber wir gehen davon aus, dass die relativ hoch ist. Es gibt immer wieder mal Fälle, wo man dann Angreifer entdeckt, die zwei, drei bis fünf Jahre in diesem System drin waren und die dann auch nur durch Zufall entdeckt wurden. Einen Fall gab es zum Beispiel in einem wirklich hoch sicheren System, wo man sich unglaublich sicher war, dass da niemand drin war, wo dann ein ganz alter Computer im Keller noch stand, der für irgendwelche kleinen administrativen Aufgaben gedacht war, der dauernd abstürzte.

Und da hat man sich dann, irgendwann hat sich dann mal einer gelangweilt und hat geguckt, warum der dauernd abstürzt und hat dann einen Angriff gefunden, der auf alles in diesem System optimiert war, nur auf diesen ganz alten Computer nicht. Den hatten die Angreifer nicht gesehen in ihrer Angriffsvorbereitung. Und das war ein Angriff, der wirklich in einer Hochsicherheitsstruktur vollkommen eigene Strukturen unterhalten hat, ein eigenes Subnetzwerk unterhalten hat und der fünf Jahre vollkommen undetektiert in diesem Hochsicherheitsbereich war. Und das ist nur eine Geschichte von ganz, ganz vielen, die immer wieder passieren. Von daher ist es sehr schwierig zu sagen, was da alles noch so im Dunkeln lauert.

Kassel: Kann man eigentlich in so einem Fall, wenn man dann drauf gekommen ist, auch herausfinden, wohin die Daten fließen?

Gaycken: Nicht sehr zuverlässig. Man kann so ein, zwei Stellen finden, wo die dann hinfließen, es gibt einige Angreifer, die sind relativ ungeniert und geben sich nicht viel Mühe, ihre Spuren zu tarnen, und deswegen sind sich viele Analysten bei China relativ sicher, weil es da sehr viele Indikatoren gibt. Die scheinen sich da nicht sehr viel Mühe zu machen. Aber es gibt viele andere Angreifer, insbesondere dann, wenn große Unternehmen sich gegenseitig angreifen, die da sehr raffiniert sind und dann teilweise das in Internetshops in irgendwelchen anderen Ländern abholen und von da aus auch die Angriffe leiten. Und da ist es dann natürlich unmöglich herauszufinden, wer der wirkliche Urheber war.

Kassel: Wir reden heute Vormittag hier im Deutschlandradio Kultur mit dem Informatiker und IT-Sicherheitsexperten Sandro Gaycken über Industrie- und Wirtschaftsspionage, und Sie haben gerade etwas ganz Interessantes gesagt: "Die großen Industriebetriebe, die sich gegenseitig ausspionieren" - wir wollen keine Namen nennen, aber kann ich davon ausgehen, dass von einigen der Unternehmen, die, sagen wir mal, im DAX gelistet sind, auch Spionageangriffe auf andere ausgehen aus Deutschland?

Gaycken: Ja, davon kann man ausgehen. Das ist natürlich jetzt auch keine neue Aktivität, die werben ja auch dauernd Leute sich gegenseitig ab, um irgendwie die Fähigkeiten zu bekommen und ein bisschen Einsicht zu bekommen. Aber es gibt da durchaus auch Fälle, wo dann direkt die Daten mitgenommen werden oder die Daten auch angegriffen werden oder wo halt eben ein Zwischenhändler, sozusagen Söldner, die Unternehmen wechselseitig angreifen und versuchen, die Daten dann zu verkaufen.

Kassel: Da sind wir ja, Herr Gaycken, ein bisschen beim Faktor Mensch. Wir haben ja jetzt gerade im Zuge der Snowden-Enthüllungen das Gefühl, ja, die guten alten Geheimdienstler, die mit Kopfhörer irgendwo sitzen, die sind out. Aber dieser Faktor Mensch – kommt es auch vor bei der Industriespionage, dass einfach, wie früher im Kalten Krieg, jemand angesprochen wird und man sagt ihm, wenn du uns gewisse Daten zugänglich machst, kriegst du 50.000 Euro?

Gaycken: Absolut, ja. Der Innentäter ist nach wie vor einer der interessantesten Vektoren auch für die Datenspionage heutzutage, und das sehen wir ja auch an solchen Leuten wie Snowden oder Manning. Die sind ja eigentlich Innentäter. Also, die haben ja nicht von außen über das Internet ihr System angegriffen, sondern von innen etwas mitgenommen. Das sind nun einmal die potentesten Täter, weil die ja wirklich auch auf diese geschlossenen Netzwerke zugreifen können, weil die in der Regel auf viele verschiedene Dinge zugreifen können. Und wenn man die gut vorbereitet und denen ein bisschen Zeit gibt, dann können die also tatsächlich sehr viel mehr Informationen absaugen, und es kostet auch aus der Angreiferperspektive nicht unbedingt mehr, als wenn man einen sehr raffinierten Onlineangriff macht.

Kassel: Sie haben, Herr Gaycken, mal neulich in einem Interview, als es auch um die NSA-Überwachung ging, gesagt, ach, E-Mails verschlüsseln, das ist gar nicht das, was ich tue. Wenn ich was zu besprechen hab, was wirklich geheim ist, suche ich mir einen abhörsicheren Ort und bespreche das mündlich. Ist das letzten Endes auch Ihre beste Empfehlung für die Unternehmen?

Gaycken: Absolut, ja, Aber das ist bei den Unternehmen unglaublich unpopulär. Das ist also auch was, was wir aus den Unternehmen, aus den Sicherheitsabteilungen immer wieder hören. Die wissen ganz genau, dass sie Sicherheitsprobleme haben, die wissen auch, dass sie sehr viel mehr im Fokus sind als zum Beispiel der Staat, der ist weit weniger interessant für Spione im Moment als die Wirtschaft. Aber die Sicherheitsabteilungen selber können natürlich dem Board, dem C-Level nicht vorschreiben, wie die ihr Leben zu leben haben.

Die sind halt einfach in der Hierarchie unter denen. Und die wollen dann einfach ihr iPad mitnehmen in die geheime Sitzung und die wollen einfach im schicken Büro mit vielen Fenstern ihr Meeting machen und nicht unten im abhörsicheren Keller. Von daher ist da ein sehr unsensibles Verhalten gegenüber Sicherheit leider zu bemerken.

Kassel: … sagt Sandro Gaycken, IT-Sicherheitsexperte, berät auch die Bundesregierung und ist Informatiker an der FU Berlin. Herr Gaycken, ich danke Ihnen sehr für das Gespräch!

Gaycken: Gerne!

Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Mehr zum Thema