Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
  EconomyAbwehr  Investigation Grundlagen    Economy-Krieg    Wirtschaft Sphären Militär
Spionage

Seit wann gibt es diese Form, des gnadenlosen Kampfes ?
 
Wirtschaftsspionage
definiert nach amerikanischen Recht ( FBI )

Wirtschaftskrieg oder Fahrlässigkeiten durch Mitarbeiter ?
Firmen entdecken Cyberattacken erst nach 243 Tagen
China reagiert empört auf US-Importbeschränkung für IT-Produkte
Was die Amis können, können die Chinesen schon lange
Ticketmaster zahlt für Hacking ein
rivalisierendes Unternehmen
Cyberschäden im Jahre 2020  - 1.000.000.000.000  US-$
 
Wallstreet Journal

Was die Amis können, können die Chinesen schon lange"

· Von STEPHAN DÖRNER


Die Brainloop AG ist ein IT-Sicherheitsunternehmen aus München mit nach eigenen Angaben mehr als zwei Drittel der Dax-30-Konzerne als Kunden – darunter Allianz, BMW, Deutsche Telekom, RWE und Thyssen-Krupp . Auch das Silicon-Valley-Unternehmen Foursquare und zahlreiche Hedgefonds in den USA nehmen ihre Dienste in Anspruch.
Brainloop setzt den Schwerpunkt auf sichere verschlüsselte Kommunikation und Dateiverwaltung, bei denen die privaten Schlüssel beim Unternehmen liegen. Im Interview sprach CEO Bernhard Wöbker über die IT-Sicherheits-Herausforderungen von Unternehmen in der Post-Snowden-Ära – und warum die größte Gefahr immer noch schusselige Mitarbeiter sind.


Redigierte Auszüge aus dem Gespräch.
WSJ Deutschland: Wie sieht das häufigste Angriffsszenario für einen Großkonzern in Deutschland aus?

Brainloop AG
Bernhard Wöbker, CEO der Brainloop AG
Bernhard Wöbker: Die meisten Dinge passieren nach unserer Erfahrung durch Fahrlässigkeit, der nicht richtigen Policy des Unternehmens – es gibt nur wenig Fälle, wo angegriffen wird. Selbst Snowden ist ein Insider, der war ja kein Outsider. Was öfter passiert: Mitarbeiter wollen Dokumente verschicken, geben die ersten drei Buchstaben ein, der Name wird autovervollständigt heutzutage – und bevor man sich versieht, hat man auf den falschen geklickt. Das passiert sehr häufig. Mitarbeiter, die weggehen, nehmen oft Daten mit. Das habe ich auch schon oft genug erlebt. Mitarbeiter, die sauer sind, machen irgendwas. Auch die Steuer-CDs sind von Mitarbeitern kopiert worden. Das ist das größte Angriffsszenario.
Wenn das nun Mitarbeiter sind, die legitimen Zugriff auf die Daten haben – wie es ja oft der Fall war – ist das dann überhaupt ein technisches Problem oder nicht vielmehr ein soziales Problem, ein Problem der Unternehmensführung?
Ich glaube das ist zum Teil ein technisches Problem. Man muss Policies einführen und muss das überwachen. Wir haben mit unserer Software zum Beispiel vollen Audit-Trail: Ich kann zu jedem Zeitpunkt sagen, wer hat wann welches Dokument geladen, gelesen, wie lang hat er es gelesen, hat er es annotiert, hat er Anmerkungen gemacht? Weil immer wieder von dem Client auf den Server synchronisiert wird. Und das machen viele Leute nicht, die wissen gar nicht, welche Dokumente sind von wem wann mal runtergeladen worden und dergleichen. Wenn das schon mal bekannt ist und alles aufgezeichnet wird, was gemacht wird, dann hat man das schon mal zu 30 Prozent bis 50 Prozent beseitigt, denn jeder weiß schon mal, dass er dadurch unter Umständen auch später gefasst werden kann. Eine zweite Sache ist: Wenn man die Policy hat, bestimmte Dokumente sind sicher, die dürfen den Datenraum nicht verlassen, kann man sie nur als Read-Only-Dokumente verschicken, nicht druckbar. Oder, was wir auch anbieten, mit Watermark oder Brainmark nennen wir das. Wenn Sie das Dokument dann anzeigen oder drucken, steht immer grau Ihr Name drüber, der Name des Dokuments und woher man das Dokument bekommen hat. Wenn Sie die Kopie weitergeben, wissen wir genau: Die Kopie kommt von Ihnen. Das sind alles Policies, die Unternehmen einführen müssen – aber das stoppt natürlich keinen Kriminellen. Wenn der Krimielle innerhalb des Unternehmens sitzt, dann ist es so wie bei Tresorknackern: Selbst die besten Banken werden geknackt, indem man 100 Meter Tunnel baut wie in Berlin oder dergleichen. Aber es gibt einen Haufen Schutzmechanismen, die die Firmen heute gar nicht nutzen.


Was können wir aus der NSA-Affäre lernen?
Ich glaube das Größte, was wir aus der NSA-Affäre lernen sollen, ist was technisch möglich ist. Und wenn die Amis das können – und die haben das nicht aus Industriespionage-Gründen gemacht – können die Chinesen das schon lange. Die entsprechenden Abteilungen sind ja Dimensionen größer von der Manpower.
Wer ist überhaupt gefährdet von Industriespionage? Auf was hat es China abgesehen – Spitzentechnologie alleine oder kann das auch durchaus der Mittelständler sein?


Ich kenne einen Mittelständler aus der Automobilzulieferbranche, dem ist vor vier Monaten der gesamte Server abgesaugt worden – anschließend konnte man das feststellen, das passierte übers Wochenende. In der Produktionskette bei uns sind die Mittelständler voll eingebunden in den Industrien – ob Sie Automobil nehmen, ob Sie Maschinenbau nehmen und so weiter. Ich meine die gehen nicht jemanden hinterher, der 20, 30 Leute hat – wahrscheinlich. Aber die großen Mittelständler, die bei uns 500 bis 800 Leute haben, die teilweise in diese Lieferketten eingebunden sind, das ist für die genauso interessant wie die Kerntechnologie von Mercedes, Airbus oder sonst wem.


Was sind die häufigsten Fehler der Unternehmen?

Das Kernproblem ist glaube ich die Vogel-Strauß-Politik. Einmal gibt es CEOs, die sagen, bei uns ist alles sicher. Es ist ja immer so: Sie geben gegenüber ihrem Vorstand oder Aufsichtsrat ja nicht zu, dass sie sich nicht State of the Art abgesichert haben. Das Bewusstsein wird immer besser – aber es ist immer noch so eine Tendenz vorhanden nach meiner Meinung – auch wenn ich mit potenziellen Kunden spreche: „Wir sind sicher genug, uns kann nichts passieren." Wenn Sie dann ein bisschen diskutieren, stellen Sie fest, dass doch wieder aus dem SAP-System Reports fürs Management generiert werden – normale Excel-Files – und dann werden die als Excel-Files durch die Gegend gejagt. Das Problem ist ja bei vielen Unternehmen, dass die gar nicht merken, ob sie schon einmal angegriffen wurden – die sind ja nicht alle so ausgerüstet mit Spezialisten wie die Großunternehmen.

Was vermuten Sie denn – oder haben Sie Daten dazu – welchen Umfang die Industriespionage in Deutschland hat?

In den USA müssen Sie ja als Public Company, wenn Sie angegriffen wurden, das melden – sofort. Da können Sie die Zahlen ja genau kriegen. Da müsste es einfach meiner Meinung nach auch in Deutschland gesetzliche Vorgaben geben, dass man Unternehmen dazu verpflichtet.
Für börsengehandelte Unternehmen?

Für börsennotierte Unternehmen. In den USA muss man der SEC das mitteilen.

Es gibt in Deutschland ja auch Adhoc-Pflichten – in dem Bereich gar keine?
In dem Bereich gar keine. Adhoc sind Wirtschaftsdaten, das ist ja so eine Business-Beurteilung. Sie werden angegriffen – was ist jetzt der Schaden? Sie sagen, die haben da was runtergezogen, da können sie ja nichts mit tun – können sie aber vielleicht doch. Das sollte einfach alles grundsätzlich mitgeteilt werden. Dann das würde schon das Bewusstsein unter Firmen erheblich stärken.
Und Sie wissen jetzt von Fällen etwa in Dax-Konzernen und dürfen aber nicht darüber reden?
Das ist richtig. Ich kann Ihnen bloß ein Beispiel nennen: Ein Dax-Konzern hat Quartalsberichte an Presseagenturen und Wirtschaftsprüfer ein paar Tage vor der Veröffentlichung dieser Zahlen geschickt. Und da ist eine falsche E-Mail-Adresse drin gewesen, also sind die Daten rausgegangen – und das war auch jemand, der gemerkt hat, was er hatte – und hat die dann praktisch drei Tage vor dem offiziellen Termin, wo die dann den Aktionären und der Presse mitgeteilt werden sollten, veröffentlicht. Und das Unternehmen war dann ein paar Woche später unser Kunde.


Kontakt zum Autor: stephan.doerner@wsj.com

 


http://www.wsj.de/article/SB10001424052702303491404579390542533242468htmll