Ideenklau im Ländle
Die Innovationskraft von Unternehmen in Baden-Württemberg ist hoch, daher spielen Industrie- und Wirtschaftsspionage eine erhebliche Rolle. Sich zu schützen ist teuer und aufwendig, größte Gefahrenquelle: die eigenen Mitarbeiter.
Baden-Württemberg, das Land der Tüftler und Erfinder. Robert Bosch, Carl Benz, Gottlieb Daimler stehen schon im 19. Jahrhundert für das, was man heute die Innovationskraft des Landes nennt. Auf einem Innovationsindex des Statistischen Landesamtes steht Baden-Württemberg im Vergleich mit 86 Regionen Europas vor Bayern und Berlin auf Platz 1.
Im Jahr 2009 wurden in dem Land 16,4 Milliarden in Forschung und Entwicklung investiert, das sind 4,6 Prozent des Bruttoinlandprodukts. Bezogen auf die Einwohnerzahl werden in Baden-Württemberg fünfmal so viel Patente angemeldet wie im europäischen Durchschnitt.
Klar, dass das Land und seine Firmen mit ihrem Wissen und ihrer Innovationskraft auch im Visier derjenigen stehen, die hochwertige Produkte produzieren wollen, aber kein Geld für Forschung und Entwicklung ausgeben.
Der baden-württembergische Wirtschaftsminister Nils Schmid, SPD, drückt es so aus:
"Baden-Württembergs Wirtschaft zeichnet sich durch einen hoch innovativen Mittelstand aus Deshalb sind wir auch besonders anfällig für den Diebstahl von Geschäftsgeheimnissen. Unsere Unternehmen können nicht billiger sein als andere, aber sie können, innovativer, kreativer, schneller sein als andere Unternehmen in Asien oder anderswo in der Welt. Und deshalb ist unser Vorsprung eben auch dadurch begründet, dass wir gute Ideen haben, die andere noch nicht haben ..."
... aber gerne hätten und dafür bereit sind, Gesetze zu brechen.
Industrie- und Wirtschaftsspionage spielt für Unternehmen in Baden-Württemberg seit Jahren, wenn nicht Jahrzehnten eine wichtige Rolle. Es ist fast unmöglich, genaue Zahlen über versuchte oder gelungene Angriffe von Konkurrenten oder sogar von anderen Staaten zu bekommen, denn kein Unternehmen legt Wert darauf, dass ein eventueller Spionagefall an die Öffentlichkeit kommt. Das wird als Imageverlust und Eingeständnis einer Niederlage gesehen.
Wanze im Telefon
Einer der wenigen Fälle, die bekannt geworden sind, fand bei der Firma Zeiss in Oberkochen statt:
Ende der 90er-Jahre wurde im Telefon eines Vorstands eine Wanze gefunden, die offenbar bereits längere Zeit interne Informationen nach außen gefunkt hatte. Aufgeflogen war die Wanze, als dem entsprechenden Vorstand auffiel, dass Informationen, die er nur an einen gegeben hatte, plötzlich bei einem zweiten waren. Er veranlasste daraufhin eine Sicherheitsüberprüfung und tatsächlich fand sich eine Wanze, die möglicherweise schon monatelang in Betrieb war.
Die Ermittlungsbehörden wurden eingeschaltet, was aber dem Vernehmen nach vor allem zur Folge hatte, dass die Geschichte an die Öffentlichkeit kam. Besonders unangenehm, weil Zeiss zu den sogenannten geheimschutzbetreuten Firmen zählt. Der Optik-Spezialist entwickelt auch Optik und Kameras für Waffensysteme und folglich hat nicht nur die Firma, sondern auch der Staat kein Interesse daran, dass die Firmengeheimnisse in falsche Hände kommen.
Vom Fall Zeiss weiß man, über die Zahl der Fälle, die nicht an die Öffentlichkeit gekommen sind, kann man am Ende nur spekulieren. Denn manchmal wissen noch nicht einmal die Opfer davon, dass sie ausspioniert worden sind. Es gibt aber viele Hinweise darauf, dass die Zahl hoch ist – sehr hoch.
Walter Opfermann ist beim Verfassungsschutz in Baden-Württemberg für Wirtschaftsschutz und Spionageabwehr zuständig. Er steht mit vielen Firmen in direktem Kontakt. Firmen, die entweder ein Problem hatten und sich deshalb an seine Behörde gewandt haben, oder die vorbeugen wollen. Er kommt zu der Einschätzung:
"Industrie- und Wirtschaftsspionage spielen in Baden-Württemberg eine erhebliche Rolle. wissenschaftliche Untersuchungen gehen davon aus, dass nahezu jedes zweites Unternehmen betroffen war oder betroffen sein könnte."
Opfermann bezieht sich bei dieser Aussage einerseits auf seine eigene Erfahrung, andererseits auf eine Studie des Sicherheitsforums Baden-Württemberg aus dem Jahr 2010. Für die Studie wurden rund 4000 Unternehmen in Baden-Württemberg zum Thema "Know-how in Baden-Württemberg“ angefragt - am Ende gingen die Antworten von 239 Betrieben anonymisiert ins Ergebnis ein. Dort heißt es unter anderem:
"Die vorliegenden Ergebnisse machen deutlich, dass Urheberrechtsverletzungen und Spionage bzw. Informationsabfluss besonders in den forschungsintensiven Unternehmen realistische, aber noch unterschätzte Bedrohungen darstellen. Über 60 Prozent der forschungsintensiven Unternehmen hatten in den letzten vier Jahren mindestens einen eindeutigen Fall von Verstoßen gegen Patent- und Markenrechte oder Gebrauchs- und Geschmacksmusterrechte und/oder einen konkreten Verdacht und immerhin 27 Prozent einen Fall von Spionage bzw. Informationsabfluss zu verzeichnen.
Folgen dieser Fälle waren für die Unternehmen gravierende Umsatzeinbußen, Beeinträchtigungen von Geschäftsbeziehungen und strategische Vorteile für Wettbewerber. Besonders Dauer und Kosten der Bearbeitung des Vorfalles stellten für die Unternehmen einen erheblichen bis sehr hohen Schaden dar."
Aus Sicht des Verfassungsschutzes teilen sich die Angriffe in zwei Bereiche auf: Zum einen die klassische Wirtschaftsspionage, hinter der fremde Staaten beziehungsweise deren Dienste stecken.
An vorderster Stelle werden China, die Russische Föderation, der Iran und Nordkorea genannt, die sich für baden-württembergische Technologie interessieren. Im Fokus dieser Staaten stehen ganz besonders Waffen und Technologien, die beim Waffenbau helfen. In diesem Fall ist der Verfassungsschutz für die Ermittlung und Abwehr der Spionage zuständig. Wie auch für die Spionage durch die NSA, die zumindest nach den Angaben Edward Snowdens konkret stattfindet. Der frühere NSA-Mitarbeiter hatte angedeutet, dass die Vereinigten Staaten auch Privatunternehmen in Deutschland nach Informationen ausspähen, die im nationalen Interesse der USA sind. BW hätte da einige zu bieten.
Know-How aus dem Ländle ist begehrt
Der zweite Bereich der Angriffe betrifft die Konkurrenzausspähung. Sie geht von Firmen im Aus- oder Inland aus, die auf das Knowhow aus dem Ländle scharf sind.
"Es ist nahezu jede Sparte von Informationsdiebstählen betroffen. Es kommt immer auf den Gegner an, wer gerade welche Informationen braucht. Sicherlich spielen natürlich High-Tech Unternehmen eine noch größere Rolle, sind noch ein Stück mehr gefährdet wie andere. Aber man sollte nicht von vornherein den Schluss ziehen: Wir stellen nur ganz normale Dinge her, wir sind nicht von Spionage betroffen wie andere. Es sind auch nicht immer Forschungs- und Entwicklungsdaten, es können auch rein buchhalterische Dinge sein, das können Produktionsverfahren sein. man sollte immer mit solchen Szenarien rechnen."
Fahrlässige Preisgabe von Unternehmensdaten
Ob Informationsverarbeitung, Kommunikationstechnik, Elektronik, Hochleistungsrechner, Luft- und Raumfahrt, Verkehrstechnik, Werkstoffe, Produktionstechnik, Biotechnik und Medizin, Nanotechnologie oder Energie- und Umwelttechnik - am Ende seien aber doch insbesondere High-Tech Unternehmen betroffen.
Die Methoden der Spione sind vielfältig. Zunächst ist es das, was in Geheimdienstsprache OSINT heißt, Open Source Intelligence, das Abschöpfen von öffentlichen Quellen. Der Besuch von Websites, das Gespräch auf Messen, Kongressen oder Symposien - es sei geradezu fahrlässig, sagen Experten, was manche Firmen hier freiwillig preisgeben.
Zweitens ist und bleibt das wichtigste Zielobjekt für Spionage der Mitarbeiter. Die HUMINT, Human Intelligence. Noch immer versuchen die Angreifer in 50 Prozent aller Fälle über die Mitarbeiter an das Knowhow der Firmen zu kommen, so die Studie es Sicherheitsforums:
"Das Verratsmotiv, etwa Geld, spielt ja auch immer eine Rolle. Wobei häufig überschätzt wird, was die Informationsdiebe tatsächlich zahlen. Interessant dabei ist, dass die Angreifer, ob Geheimdienst, Konkurrenz, gezielt Mitarbeiter angehen in persönlichen Krisensituationen. Umso wichtiger ist es, dass es in Firmen auch Instrumente gibt, um die Mitarbeiter in besonderen persönlichen Situationen zu unterstützen, um sie damit auch wasserfest zu machen gegenüber Informationsangriffe."
Der Praktikant als Spion
Aber die Angreifer versuchen es nicht nur über unzufriedene Mitarbeiter. Der Weg zu den Informationen ist oft genug noch viel einfacher. Durch das Einschleusen von Mitarbeitern. Das kann der Praktikant aus dem Iran sein, der Werkstudent aus Korea oder - wie in diesem Fall eines Maschinenbauers in Oberschwaben - ein Ingenieur aus China:
"Mir ist ein Fall bekannt: Betroffen ein Unternehmen in einer klassische Branche in Baden-Württemberg, das im Rahmen der Wettbewerbsanalysen festgestellt hat, dass ein Konkurrent in der VR China einen unerklärlichen Innovationssprung gemacht hatte. Bei genauerer Untersuchung kam man dann darauf, dass mit hoher Wahrscheinlichkeit Informationen aus dem baden-württembergischen Unternehmen nach China gelangt sind. Man kam dann auf einen Mitarbeiter aus China, der im Unternehmen schon verschiedentlich aufgefallen war, weil er fotografiert hat im Unternehmen, der versucht hat, in Bereiche der IT vorzudringen und der sehr häufig sich im Unternehmen aufgehalten hat, wo keine anderen Mitarbeiter zugegen waren."
Das Unternehmen erstattete Anzeige und der Mitarbeiter setzte sich nach China ab.
Der Fall zeigt auch die Arglosigkeit vieler Unternehmen, die Wirtschaftsspionage zwar als abstrakte Gefahr wahrnehmen, aber im Traum nicht daran glauben, dass das eigene Unternehmen betroffen sein könnte.
An dritter Stelle der Informationsquellen kommt dann das, was im weitesten Sinne TECHINT heißt. Technical Intelligence, die Informationsbeschaffung durch Technik. Dazu gehören Abhörgeräte und Wanzen wie im Fall von Zeiss in Oberkochen, dazu gehört aber natürlich auch zunehmend das Eindringen in Computernetze.
"Technische Angriffsszenarien haben im Augenblick Konjunktur Das beginnt mit relativ einfachen Dingen wie dem Handy, das Spionagewerkzeug Nummer eins. Mobiltelefone, die in sensible Gespräche überhaupt mitgeführt werden, sogar in angeschaltetem Zustand. Das geht über Angriffswerkzeuge, die man sich mittlerweile leicht übers Internet beschaffen kann. 'Keygrabber', die Tastaturanschläge aufzeichnen, bis hin zu Cyberangriffen aus anderen Staaten, die für die Betroffenen kaum zu entdecken sind."
Und die den Angreifern viel zu oft sehr leicht gemacht werden. Geöffnete Bluetooth-Ports an Handys, über die sie die Kontrolle übernehmen können, der Einsatz von fremden USB-Sticks, über die Trojaner in ein Computernetz eingeschleppt werden können, nicht verschlüsselte Emails, die Mitnahme von Notebooks mit sensiblen Daten in Ausland. Hier kommt es oft schon am Zoll vor, dass die Geräte untersucht werden und die Daten abgezogen.
Der Verfassungsschutz ist - wie gesagt - für die Verfolgung von Angriffen durch Staaten zuständig. Wenn es um Konkurrenzausspähung geht, kann er nur Prävention betreiben und die Firmen beraten.
Das ist ein Grund, warum es in Baden-Württemberg den Verband für Sicherheit in der Wirtschaft gibt. Gegründet wurde er im Jahr 1968 vom damaligen Daimler-Vorstand Hanns Martin Schleyer. Es schlossen sich die Großen der baden-württembergischen Industrie zusammen, um sich damals gegen terroristische Bedrohung zu schützen. Heute heißt der Geschäftsführer Karl Stefan Schotzko und für ihn ist Spionage beziehungsweise Spionageabwehr ein wichtiges Thema:
"Überall, wo Hightech drinnen ist, können Sie davon ausgehen, dass es für Wettbewerber, sei es private oder staatliche, interessant ist. Das ist bei uns klassischerweise der gesamte Maschinenbau, klassisch Automobil oder Zulieferer aber auch die Chemie und immer mehr der ganze IT-Sektor."
Schotzko macht sich wenig Illusionen. Er sagt Sätze wie "Wirtschaft ist Krieg" und glaubt keine Sekunde daran, dass Kommunikation über elektronische Hilfsmittel, sei es Computer, Fax oder Handy vertraulich ist:
"Jeder nur halb intelligente, halb seriöse Sicherheitschef unserer Mitgliedsfirmen weiß doch einfach: Wenn wir hier telefonieren, gehen wir davon aus, dass wir zu dritt telefonieren. Und wenn wir eine Email versenden, die nicht hoch verschlüsselt ist, gehen wir davon aus, dass es eben nicht nur der Empfänger liest."
Sicherheitschefs, tatsächlich haben die größeren Unternehmen in Baden-Württemberg nicht nur einen Sicherheitschef, sondern gibt es ein eigenes Sicherheits- und Risikomanagement. Welche Personen, welche Technik ist am anfälligsten für Angriffe? Wie kann man sich dagegen schützen?
Abgreifen von Informationen beim Mittagessen
Aber auch Schotzko ist der Überzeugung, dass Wirtschaftsspionage in den meisten Fällen beim Mitarbeiter ansetzt - und nicht bei der Technik. Das fängt beim unverfänglichen Gespräch mit einem Kollegen oder einem Geschäftsessen an.
"Das Thema Social Engeneering, das Abgreifen von Informationen im Rahmen von Geschäftsessen, Messen und so weiter, höchst effektiv, da war schon unsere Stasi sehr erfolgreich. Nichts geht über die menschliche Quelle bis hin zum Thema Venusfalle. Das hat früher funktioniert, das funktioniert heute und auch in Zukunft."
Weiter geht es mit der Abwerbung von Mitarbeitern durch die Konkurrenz, offen oder verdeckt:
"Für unseren Mittelstand ist das größte Problem die Abwerbung von Schlüsselmitarbeitern. Noch viel schlimmer ist, wenn dann der Schlüsselmitarbeiter, nehmen wir mal den Forschungschef, auf der Schattenpayroll eines Konkurrenten steht und die Firma das nicht mitbekommt und so dann Informationen abfließen."
Natürlich warnt der Geschäftsführer des Verbands für Sicherheit in der Wirtschaft auch vor dem sorglosen Umgang mit EDV, aber auch das beste IT-Sicherheitssystem helfe nichts, wenn der Feind - in diesem Fall der Mitarbeiter - innerhalb der Firewall sitze.
Erste Anlaufstelle: die Industrie- und Handelskammern
Schotzko vertritt mit seinem Verband zwar auch einige Mittelständler, vor allem aber die größeren Unternehmen im Land. Die erste Anlaufstelle für die innovativen kleinen und mittleren Unternehmen in Baden-Württemberg ist die Industrie- und Handelskammern. In der IHK Stuttgart ist Hans-Jürgen Reichardt für das Thema zuständig und der Überzeugung, dass sein Kammerbezirk ganz besonders im Interesse von Wirtschaftsspionen ist:
"Ja mit Sicherheit. Weil Baden-Württemberg ist das Land der Tüftler, das heißt technische und innovative Produkte. und innerhalb von Baden-Württemberg ist die Region Stuttgart, in der solche Unternehmen besonders gehäuft auftreten. Die Automobilindustrie, der Zulieferer der Maschinenbau, der oftmals dann als Hidden Champion am Markt auftritt und am Markt bestehen kann durch innovative Produkte. Das lockt natürlich Interessenten für das Knowhow an."
Auch er berichtet von vielen ratsuchenden Firmen, die sich an ihn wenden weil sie ein Problem im eigenen Unternehmen erkannt haben. Da die IHK kein Sicherheitsspezialist ist, kann er nur weiterverweisen, an den Verfassungsschutz oder an qualifizierte private Sicherheitsunternehmen.
Grundsätzlich aber sei das Problem, dass kleinere Unternehmen zunächst darauf fokussiert sind, überhaupt erst mal mit Innovationen auf den Markt zu kommen und sich dort zu behaupten. Oftmals müsse erst etwas passieren, damit sie das Sicherheitsthema systematisch angehen. Und ein regelrechtes Sicherheitsmanagement fehle oft sogar bei größeren Mittelständlern, so Hans-Jürgen Reichardt von der IHK Stuttgart:
"Ein mittelständisches Unternehmen mit vielleicht 200, 300, vielleicht auch 1000 Mitarbeitern, hat ein solches System in der Regel nicht, denn das ist aufwändig, ein hoher Organisationsaufwand. Aber man muss dafür werben, dass Unternehmen sich viel grundsätzlicher über ihre Situation mit der Sicherheit im Unternehmen klar werden."
Besonders problematisch sei die Situation oft bei wirklich kleinen Unternehmen oder Start-Ups, die zum Beispiel mit einer Idee auf den Markt kommen:
"Ein Existenzgründer im ganz klassischen Fall, der als Spin-Off von der Universität kommt, eine Idee hat, der klein anfängt, steht von Anfang an vor dem Problem, dass der vielleicht eine Art Erfindung hat, aber nicht die Kapitalmittel, um sich zu schützen. Das beginnt schon damit, dass er zur Bank geht um einen Kredit zu holen und er wird gefragt, was er genau macht."
Schon bei der Bank muss er im Zweifelsfall auch schon Fakten zu seiner Erfindung vor einem Dritten auf den Tisch legen. So ist das Risiko des Ideenklaus, gerade für finanzschwache Startups, die kein Geld haben, besonders groß. Und damit auch ihr schnelles Ende.
Auch wenn angenommen wird, dass die Spionageangriffe nach wie vor meistens über die Mitarbeiter von Unternehmen laufen, stellt der IHK-Mann doch fest, dass im Zuge der Diskussion über NSA und PRISM-Affäre die Sensibilität für das Thema IT-Sicherheit merklich angestiegen sei. Reichardt selbst fragt, ob es hier in den letzten Jahren vielleicht auch Versäumnisse auf Seiten der Sicherheitsbehörden gab:
"Wie kann es denn eigentlich sein, dass eine NSA über Jahre hinweg hier in Deutschland solche Aktivitäten entfalten kann. Wir haben ja eigene Verfassungsschutzorgane und da wird auch überlegt werden müssen, wie unsere Bevölkerung und unsere Unternehmen auch von staatlicher Seite her einen noch besseren Schutz erfahren können."
Wirtschaft und Sicherheitsbehörden arbeiten zusammen
Dabei gilt in Baden-Württemberg, dass die Zusammenarbeit von Politik, Sicherheitsbehörden und Wirtschaft traditionell gut ist.
Wirtschafts- und Innenministerium von Seiten der Landesregierung, das Landesamt für den Verfassungsschutz von den Sicherheitsbehörden, die Industrie- und Handelskammer, der Verband für Sicherheit in der Wirtschaft sowie einige größere Unternehmen bilden gemeinsam das sogenannte Sicherheitsforum Baden-Württemberg. Das hat die zitierte Studie über Wirtschaftsspionage in Auftrag gegeben und es sorgt, wie Karl Stefan Schotzko vom VSW sagt, dafür, dass alle an einem Strang ziehen:
"Wir hier in BW können da nicht klagen, weil egal welche Regierung am Ruder ist, alle haben begriffen, ohne prosperierende Wirtschaft hat auch die Politik keine Chance. Und deshalb, angefangen von der Politik über die Sicherheitsbehörden, eine sehr erfolgreiche tägliche Zusammenarbeit ist einfach Fakt. Das freut uns. Ich sage immer: Im Sicherheitsbereich, da können Sie nicht fremd gehen, da können Sie nur bekannt gehen."
Wirtschaftsminister Nils Schmid bestätigt das aus Perspektive der Politik und fügt hinzu, dass das Land jetzt noch für engere Verzahnung mit den Hochschulen sorgen will, damit bei einem schwierigen Thema am Ende alle schlauer sind:
"Zum einen unterstützen wir Forschungseinrichtungen, die Lösungen für mehr Datensicherheit erforschen. Zum Beispiel mit über 2,5 Millionen Grundfinanzierung für das Forschungszentrum Informatik in Karlsruhe. Zum andern wollen wir mit einem Kongress über das Thema die Akteure an einen Tisch bringen. Denn was nützt die beste Forschung, wenn die Anwendung in den mittelständischen Unternehmen nicht klappt. Und die Stärke der BW-Industrie ist ja gerade der Transfer von der Wissenschaft in die Unternehmen und bei diesem Thema scheint mir das besonders dringlich zu sein."
Und das natürlich ganz besonders vor dem Hintergrund der NSA-Affäre.
"Das Bewusstsein über die Bedrohung aus dem Internet ist gewachsen durch die NSA-Affäre und die PRISM-Affäre und viele gerade der kleineren und mittleren Unternehmen sind unzureichend darauf vorbereitet. Weder von der Gefahrenanalyse noch von den technischen Möglichkeiten gegen Industriespionage. Deshalb ist es für mich als Wirtschaftsminister ein Schwerpunkt meiner IT-Initiative, Datensicherheit für den Mittelstand voranzubringen."
Und zwar nicht nur, um die Wirtschaft in Baden-Württemberg vor Angriffen aus dem Netz zu schützen, sondern auch, um IT-Sicherheit als künftiges Geschäftsfeld für Unternehmen aus Baden-Württemberg zu sichern. Denn es ist sicher kein Zufall, dass einer der größten europäischen Anbieter von Sicherheitssoftware, die Firma Avira, in Tettnang und damit in Baden-Württemberg zu Hause ist.