Die Brainloop AG ist ein IT-Sicherheitsunternehmen aus München mit nach eigenen
Angaben mehr als zwei Drittel der Dax-30-Konzerne als Kunden – darunter Allianz,
BMW, Deutsche Telekom, RWE und
Thyssen-Krupp . Auch das Silicon-Valley-Unternehmen Foursquare und
zahlreiche Hedgefonds in den USA nehmen ihre Dienste in Anspruch.
Brainloop setzt den Schwerpunkt auf sichere verschlüsselte Kommunikation und
Dateiverwaltung,
bei denen die privaten Schlüssel beim Unternehmen liegen. Im
Interview sprach CEO Bernhard Wöbker über die IT-Sicherheits-Herausforderungen
von Unternehmen in der Post-Snowden-Ära – und warum die größte Gefahr immer noch
schusselige Mitarbeiter sind.
Redigierte Auszüge aus dem Gespräch.
WSJ Deutschland: Wie sieht das häufigste Angriffsszenario für einen Großkonzern
in Deutschland aus?
Brainloop AG
Bernhard Wöbker, CEO der Brainloop AG
Bernhard Wöbker:
Die meisten Dinge passieren nach unserer Erfahrung durch
Fahrlässigkeit, der nicht richtigen Policy des Unternehmens – es gibt nur wenig
Fälle, wo angegriffen wird. Selbst Snowden ist ein Insider, der war ja kein
Outsider. Was öfter passiert: Mitarbeiter wollen Dokumente verschicken, geben
die ersten drei Buchstaben ein, der Name wird autovervollständigt heutzutage –
und bevor man sich versieht, hat man auf den falschen geklickt. Das passiert
sehr häufig.
Mitarbeiter, die weggehen, nehmen oft Daten mit. Das habe ich auch
schon oft genug erlebt. Mitarbeiter, die sauer sind, machen irgendwas. Auch die
Steuer-CDs sind von Mitarbeitern kopiert worden.
Das ist das größte
Angriffsszenario.
Wenn das nun Mitarbeiter sind, die legitimen Zugriff auf die Daten haben – wie
es ja oft der Fall war – ist das dann überhaupt ein technisches Problem oder
nicht vielmehr ein soziales Problem, ein Problem der Unternehmensführung?
Ich glaube das ist zum Teil ein technisches Problem. Man muss Policies einführen
und muss das überwachen. Wir haben mit unserer Software zum Beispiel vollen
Audit-Trail: Ich kann zu jedem Zeitpunkt sagen, wer hat wann welches Dokument
geladen, gelesen, wie lang hat er es gelesen, hat er es annotiert, hat er
Anmerkungen gemacht? Weil immer wieder von dem Client auf den Server
synchronisiert wird. Und das machen viele Leute nicht, die wissen gar nicht,
welche Dokumente sind von wem wann mal runtergeladen worden und dergleichen.
Wenn das schon mal bekannt ist und alles aufgezeichnet wird, was gemacht wird,
dann hat man das schon mal zu 30 Prozent bis 50 Prozent beseitigt, denn jeder
weiß schon mal, dass er dadurch unter Umständen auch später gefasst werden kann.
Eine zweite Sache ist: Wenn man die Policy hat, bestimmte Dokumente sind sicher,
die dürfen den Datenraum nicht verlassen, kann man sie nur als
Read-Only-Dokumente verschicken, nicht druckbar. Oder, was wir auch anbieten,
mit Watermark oder Brainmark nennen wir das. Wenn Sie das Dokument dann anzeigen
oder drucken, steht immer grau Ihr Name drüber, der Name des Dokuments und woher
man das Dokument bekommen hat. Wenn Sie die Kopie weitergeben, wissen wir genau:
Die Kopie kommt von Ihnen. Das sind alles Policies, die Unternehmen einführen
müssen – aber das stoppt natürlich keinen Kriminellen. Wenn der Krimielle
innerhalb des Unternehmens sitzt, dann ist es so wie bei Tresorknackern: Selbst
die besten Banken werden geknackt, indem man 100 Meter Tunnel baut wie in Berlin
oder dergleichen. Aber es gibt einen Haufen Schutzmechanismen, die die Firmen
heute gar nicht nutzen.
Was können wir aus der NSA-Affäre lernen?
Ich glaube das Größte, was wir aus der NSA-Affäre lernen sollen, ist was
technisch möglich ist. Und wenn die Amis das können – und die haben das nicht
aus Industriespionage-Gründen gemacht – können die Chinesen das schon lange. Die
entsprechenden Abteilungen sind ja Dimensionen größer von der Manpower.
Wer ist überhaupt gefährdet von Industriespionage? Auf was hat es China
abgesehen – Spitzentechnologie alleine oder kann das auch durchaus der
Mittelständler sein?
Ich kenne einen Mittelständler aus der Automobilzulieferbranche, dem ist vor
vier Monaten der gesamte Server abgesaugt worden – anschließend konnte man das
feststellen, das passierte übers Wochenende. In der Produktionskette bei uns
sind die Mittelständler voll eingebunden in den Industrien – ob Sie Automobil
nehmen, ob Sie Maschinenbau nehmen und so weiter. Ich meine die gehen nicht
jemanden hinterher, der 20, 30 Leute hat – wahrscheinlich. Aber die großen
Mittelständler, die bei uns 500 bis 800 Leute haben, die teilweise in diese
Lieferketten eingebunden sind, das ist für die genauso interessant wie die
Kerntechnologie von Mercedes, Airbus oder sonst wem.
Was sind die häufigsten Fehler der Unternehmen?
Das Kernproblem ist glaube ich die Vogel-Strauß-Politik. Einmal gibt es CEOs,
die sagen, bei uns ist alles sicher. Es ist ja immer so: Sie geben gegenüber
ihrem Vorstand oder Aufsichtsrat ja nicht zu, dass sie sich nicht State of the
Art abgesichert haben. Das Bewusstsein wird immer besser – aber es ist immer
noch so eine Tendenz vorhanden nach meiner Meinung – auch wenn ich mit
potenziellen Kunden spreche: „Wir sind sicher genug, uns kann nichts passieren."
Wenn Sie dann ein bisschen diskutieren, stellen Sie fest, dass doch wieder aus
dem SAP-System Reports fürs Management generiert werden – normale Excel-Files –
und dann werden die als Excel-Files durch die Gegend gejagt. Das Problem ist ja
bei vielen Unternehmen, dass die gar nicht merken, ob sie schon einmal
angegriffen wurden – die sind ja nicht alle so ausgerüstet mit Spezialisten wie
die Großunternehmen.
Was vermuten Sie denn – oder haben Sie Daten dazu – welchen Umfang die Industriespionage in Deutschland hat?
In den USA müssen Sie ja als Public Company, wenn Sie angegriffen wurden, das
melden – sofort. Da können Sie die Zahlen ja genau kriegen. Da müsste es einfach
meiner Meinung nach auch in Deutschland gesetzliche Vorgaben geben, dass man
Unternehmen dazu verpflichtet.
Für börsengehandelte Unternehmen?
Für börsennotierte Unternehmen. In den USA muss man der SEC das mitteilen.
Es gibt in Deutschland ja auch Adhoc-Pflichten – in dem Bereich gar keine?
In dem Bereich gar keine. Adhoc sind Wirtschaftsdaten, das ist ja so eine
Business-Beurteilung. Sie werden angegriffen – was ist jetzt der Schaden? Sie
sagen, die haben da was runtergezogen, da können sie ja nichts mit tun – können
sie aber vielleicht doch. Das sollte einfach alles grundsätzlich mitgeteilt
werden. Dann das würde schon das Bewusstsein unter Firmen erheblich stärken.
Und Sie wissen jetzt von Fällen etwa in Dax-Konzernen und dürfen aber nicht
darüber reden?
Das ist richtig. Ich kann Ihnen bloß ein Beispiel nennen: Ein Dax-Konzern hat
Quartalsberichte an Presseagenturen und Wirtschaftsprüfer ein paar Tage vor der
Veröffentlichung dieser Zahlen geschickt. Und da ist eine falsche E-Mail-Adresse
drin gewesen, also sind die Daten rausgegangen – und das war auch jemand, der
gemerkt hat, was er hatte – und hat die dann praktisch drei Tage vor dem
offiziellen Termin, wo die dann den Aktionären und der Presse mitgeteilt werden
sollten, veröffentlicht. Und das Unternehmen war dann ein paar Woche später
unser Kunde.
Kontakt zum Autor:
stephan.doerner@wsj.com
http://www.wsj.de/article/SB10001424052702303491404579390542533242468htmll