Manfred Kloiber: Bis zu 50 Milliarden Euro Schaden entstehen laut Schätzung des Bundesinnenministeriums jedes Jahr deutschen Unternehmen durch Wirtschaftsspionage. Und auf der anderen Seite haben die betroffenen Unternehmen vielfach Vorbehalte gegen eine Zusammenarbeit mit den Nachrichtendiensten. Wie reagieren denn Verfassungsschutz und Bundesnachrichtendienst darauf, Peer Welchering?
Peter Welchering: Sie machen das, was Beate Bube, die Präsidentin des Landesamts für Verfassungsschutz in Baden-Württemberg, in Friedrichshafen, vorgemacht hat: Sie werben um Vertrauen, und das gleich auf zwei Ebenen. Zum einen sagen sie, wir können schweigen. Sie sagen, wir können eure Geheimnisse auch wirklich für uns behalten. Also Unternehmen können mit den Nachrichtendiensten über irgendwelche Einbrüche, über stattgefundene Wirtschaftsspionage reden, ohne dass das gleich in der Zeitung steht oder im Rundfunk gesendet wird. Und zum anderen machen sie eines sehr, sehr deutlich: Wir haben uns Kompetenz im Bereich IT-Forensik aufgebaut, und die soll eben den Sicherheitschefs deutscher Unternehmen auch gezeigt werden. Deshalb wurde in Friedrichshafen auch über die Methoden der IT-Forensik gesprochen. Allerdings sagten auch da nicht wenige Sicherheitschefs, naja, da sind eigentlich unsere IT-Spezialisten doch schon ein wenig weiter. Und die Nachrichtendienste lassen eben auch Tagungen wie in Friedrichshafen auch Kritiker auftreten, vermarkten das sogar ganz offensiv. Und mit diesen Kritikern reden sie dann über Sicherheitslücken, Angriffsprogramme und deren Abwehr und wollen so ein Stückchen mehr Objektivität in die Diskussion hineinbekommen.
Kloiber: Auf der anderen Seite: Wie schauen denn konkret die Vorbehalte aus, die es bei den Unternehmensvertretern gibt, auf der Unternehmensseite, in Sachen IT-Sicherheit und Wirtschaftsspionage eben mit diesen Sicherheitsbehörden zusammenzuarbeiten?
Welchering: Ganz oben steht natürlich die Angst vor einem Imageschaden. Wenn bei mir so etwas stattgefunden hat – hier wurden also tatsächlich dann beispielsweise irgendwelche Daten abgesaugt – was sagen meine Kunden dazu? Was sagen meine Partner dazu? Ich habe Angst vor einem Imageschaden, weil das dann in der Zeitung steht, weil es in den Medien kommt. Und dann wird sehr deutlich unterschieden zwischen der Polizei und den Staatsanwaltschaften auf der einen Seite und den Nachrichtendiensten auf der anderen Seite. Zwar sind die Nachrichtendienste nicht ans Legalitätsprinzip gebunden – und das betonen sie auch. Also sie können schweigen, sie müssen nicht alles in die Ermittlungen geben. Aber das wirkt sich eben ein Stück auch kontraproduktiv aus. Denn den Unternehmen ist genau dieses Legalitätsprinzip sehr wichtig. Sie wollen sehr klare Vorgaben für die Zusammenarbeit haben und die vermissen sie mitunter bei den Nachrichtendiensten und arbeiten deshalb eben dann doch eher mit den Landeskriminalämtern oder in Einzelfällen auch mit dem Bundeskriminalamt zusammen. Und es geht immer um den Umgang mit den Sicherheitslücken. Da ist den Unternehmenschefs sehr deutlich, auch den Sicherheitschefs: Die Nachrichtendienste nutzen genau solche Sicherheitslücken für ihre Spionagesoftware aus, mit denen sie unter Umständen dann auch ausspioniert wurden, etwa für die heimliche Online-Durchsuchung. Und da wissen auch sie, die Unternehmenschefs, die Sicherheitschefs: Sicherheitslücken müssen erkannt und öffentlich gemacht werden, damit sie geschlossen werden können – und das ist noch ein Imageproblem, mit dem die Nachrichtendienste zu kämpfen haben.
Kloiber: Wie sieht es denn aus mit der Einschätzung, was die Kompetenz angeht? Ist die hoch eingeschätzt bei den Unternehmen oder eher niedrig?
Welchering: Also auf der Tagung in Friedrichshafen habe ich da außerordentlich unterschiedliche Antworten von den anwesenden 150 Tagungsteilnehmern, eben Sicherheitsbevollmächtigten der Unternehmen, bekommen. Ein Blick in die sogenannte Sifo-Studie 2009/2010, das ist die Sicherheitsstudie des Sicherheitsforums Baden-Württemberg, die ist immer so ein bisschen paradigmatisch für die Bundesrepublik, die ergibt dann auch eine ganz, ganz interessante Zahl, oder zwei Zahlen eigentlich: 59 Prozent der forschungsintensiven Unternehmen greifen nämlich auf Know-how von privaten IT-Beratern und Unternehmensberatern zurück. Aber nur 17 Prozent greifen dabei beispielsweise dann auf die Experten des Bundesamtes für Verfassungsschutz zurück. Und da kann man dann auch insgesamt so eine Tendenz ausmachen. Eher neigen dann auch die Tagungsteilnehmer, wie beispielsweise Sicherheitsbevollmächtigte in Friedrichshafen dazu, mit den Landesämtern für Verfassungsschutz zusammen zu arbeiten, dem Bundesamt wird da weniger Kompetenz bescheinigt. Und ganz am Ende rangiert tatsächlich der Bundesnachrichtendienst. Und die Begründung der Sicherheitsbevollmächtigten: Die haben sich einfach in der Vergangenheit viel zu viele Sicherheitspannen und Ermittlungspannen geleistet.
Kloiber: Aber eher Vorbehalte scheinen da bei den Unternehmen vorzuherrschen. Reagieren die Nachrichtendienste auf diese Einschätzungen?
Welchering: Ja, vor allen Dingen die Landesämter für Verfassungsschutz verstärken durch die Bank ihre Cyber-Spezialisten, vor allen Dingen in den Abteilungen für Wirtschaftsspionage und sie kommunizieren das auch sehr deutlich. Und in Pullach beim Bundesnachrichtendienst bemüht man sich durchaus, möglichst wenige Online-Ermittlungspannen nach außen dringen zu lassen. Aber die Nagelprobe, die auch die Sicherheitsbevollmächtigten hier einfach mal durchgeführt sehen möchten, heißt ganz einfach: Wie handhabt ihr denn den Umgang mit Sicherheitslücken? Wollt Ihr nach wie vor verhindern, dass möglichst alle Sicherheitslücken öffentlich gemacht werden, damit sie geschlossen werden können, oder wollt ihr einige Sicherheitslücken auf denen vor allen Dingen eben eure Programme, eure Angriffsprogramme, Spionageprogramme aufsetzen weiterhin geheim halten? Dann seid ihr für uns Partner, denen wir, bei der Zusammenarbeit in Sicherheitsfragen der Unternehmen nicht so recht und immer vertrauen können und wollen.
Peter Welchering: Sie machen das, was Beate Bube, die Präsidentin des Landesamts für Verfassungsschutz in Baden-Württemberg, in Friedrichshafen, vorgemacht hat: Sie werben um Vertrauen, und das gleich auf zwei Ebenen. Zum einen sagen sie, wir können schweigen. Sie sagen, wir können eure Geheimnisse auch wirklich für uns behalten. Also Unternehmen können mit den Nachrichtendiensten über irgendwelche Einbrüche, über stattgefundene Wirtschaftsspionage reden, ohne dass das gleich in der Zeitung steht oder im Rundfunk gesendet wird. Und zum anderen machen sie eines sehr, sehr deutlich: Wir haben uns Kompetenz im Bereich IT-Forensik aufgebaut, und die soll eben den Sicherheitschefs deutscher Unternehmen auch gezeigt werden. Deshalb wurde in Friedrichshafen auch über die Methoden der IT-Forensik gesprochen. Allerdings sagten auch da nicht wenige Sicherheitschefs, naja, da sind eigentlich unsere IT-Spezialisten doch schon ein wenig weiter. Und die Nachrichtendienste lassen eben auch Tagungen wie in Friedrichshafen auch Kritiker auftreten, vermarkten das sogar ganz offensiv. Und mit diesen Kritikern reden sie dann über Sicherheitslücken, Angriffsprogramme und deren Abwehr und wollen so ein Stückchen mehr Objektivität in die Diskussion hineinbekommen.
Kloiber: Auf der anderen Seite: Wie schauen denn konkret die Vorbehalte aus, die es bei den Unternehmensvertretern gibt, auf der Unternehmensseite, in Sachen IT-Sicherheit und Wirtschaftsspionage eben mit diesen Sicherheitsbehörden zusammenzuarbeiten?
Welchering: Ganz oben steht natürlich die Angst vor einem Imageschaden. Wenn bei mir so etwas stattgefunden hat – hier wurden also tatsächlich dann beispielsweise irgendwelche Daten abgesaugt – was sagen meine Kunden dazu? Was sagen meine Partner dazu? Ich habe Angst vor einem Imageschaden, weil das dann in der Zeitung steht, weil es in den Medien kommt. Und dann wird sehr deutlich unterschieden zwischen der Polizei und den Staatsanwaltschaften auf der einen Seite und den Nachrichtendiensten auf der anderen Seite. Zwar sind die Nachrichtendienste nicht ans Legalitätsprinzip gebunden – und das betonen sie auch. Also sie können schweigen, sie müssen nicht alles in die Ermittlungen geben. Aber das wirkt sich eben ein Stück auch kontraproduktiv aus. Denn den Unternehmen ist genau dieses Legalitätsprinzip sehr wichtig. Sie wollen sehr klare Vorgaben für die Zusammenarbeit haben und die vermissen sie mitunter bei den Nachrichtendiensten und arbeiten deshalb eben dann doch eher mit den Landeskriminalämtern oder in Einzelfällen auch mit dem Bundeskriminalamt zusammen. Und es geht immer um den Umgang mit den Sicherheitslücken. Da ist den Unternehmenschefs sehr deutlich, auch den Sicherheitschefs: Die Nachrichtendienste nutzen genau solche Sicherheitslücken für ihre Spionagesoftware aus, mit denen sie unter Umständen dann auch ausspioniert wurden, etwa für die heimliche Online-Durchsuchung. Und da wissen auch sie, die Unternehmenschefs, die Sicherheitschefs: Sicherheitslücken müssen erkannt und öffentlich gemacht werden, damit sie geschlossen werden können – und das ist noch ein Imageproblem, mit dem die Nachrichtendienste zu kämpfen haben.
Kloiber: Wie sieht es denn aus mit der Einschätzung, was die Kompetenz angeht? Ist die hoch eingeschätzt bei den Unternehmen oder eher niedrig?
Welchering: Also auf der Tagung in Friedrichshafen habe ich da außerordentlich unterschiedliche Antworten von den anwesenden 150 Tagungsteilnehmern, eben Sicherheitsbevollmächtigten der Unternehmen, bekommen. Ein Blick in die sogenannte Sifo-Studie 2009/2010, das ist die Sicherheitsstudie des Sicherheitsforums Baden-Württemberg, die ist immer so ein bisschen paradigmatisch für die Bundesrepublik, die ergibt dann auch eine ganz, ganz interessante Zahl, oder zwei Zahlen eigentlich: 59 Prozent der forschungsintensiven Unternehmen greifen nämlich auf Know-how von privaten IT-Beratern und Unternehmensberatern zurück. Aber nur 17 Prozent greifen dabei beispielsweise dann auf die Experten des Bundesamtes für Verfassungsschutz zurück. Und da kann man dann auch insgesamt so eine Tendenz ausmachen. Eher neigen dann auch die Tagungsteilnehmer, wie beispielsweise Sicherheitsbevollmächtigte in Friedrichshafen dazu, mit den Landesämtern für Verfassungsschutz zusammen zu arbeiten, dem Bundesamt wird da weniger Kompetenz bescheinigt. Und ganz am Ende rangiert tatsächlich der Bundesnachrichtendienst. Und die Begründung der Sicherheitsbevollmächtigten: Die haben sich einfach in der Vergangenheit viel zu viele Sicherheitspannen und Ermittlungspannen geleistet.
Kloiber: Aber eher Vorbehalte scheinen da bei den Unternehmen vorzuherrschen. Reagieren die Nachrichtendienste auf diese Einschätzungen?
Welchering: Ja, vor allen Dingen die Landesämter für Verfassungsschutz verstärken durch die Bank ihre Cyber-Spezialisten, vor allen Dingen in den Abteilungen für Wirtschaftsspionage und sie kommunizieren das auch sehr deutlich. Und in Pullach beim Bundesnachrichtendienst bemüht man sich durchaus, möglichst wenige Online-Ermittlungspannen nach außen dringen zu lassen. Aber die Nagelprobe, die auch die Sicherheitsbevollmächtigten hier einfach mal durchgeführt sehen möchten, heißt ganz einfach: Wie handhabt ihr denn den Umgang mit Sicherheitslücken? Wollt Ihr nach wie vor verhindern, dass möglichst alle Sicherheitslücken öffentlich gemacht werden, damit sie geschlossen werden können, oder wollt ihr einige Sicherheitslücken auf denen vor allen Dingen eben eure Programme, eure Angriffsprogramme, Spionageprogramme aufsetzen weiterhin geheim halten? Dann seid ihr für uns Partner, denen wir, bei der Zusammenarbeit in Sicherheitsfragen der Unternehmen nicht so recht und immer vertrauen können und wollen.