Seit Edward Snowden die von der NSA und anderen Geheimdiensten als geheim eingestufte Dokumente der Öffentlichkeit präsentierte und damit auch die intensive Wirtschaftsspionage der USA und Großbritannien offenlegte, ist speziell bei mittelständischen Unternehmen hierzulande die Unsicherheit in Sachen Datenschutz spürbar. Telefonate abhören, E-Mails mitlesen, Datenbanken einsehen, Online-Speicher hacken: Im Interview erklärt uns Kryptografie-Experte und TUP-Softwareentwickler Richard Fallert, wie Unternehmen ihre Daten vor fremden Blicken Dritter schützen können und warum gerade in der Intralogistik solche Diebstähle gravierende Folgen nach sich ziehen können.
Herr Fallert, warum sollten Unternehmen beim Umgang mit ihren Daten und dem darin befindlichen Know-how sensibel umgehen?
Grundsätzlich? Weil das Know-how auch gleichzeitig das Kapital des jeweiligen Unternehmens darstellt. Jedes Unternehmen steht vor der Herausforderung, die eigenen sensiblen Daten (Forschungsergebnisse, Softwarecodes, Kundendaten, Projekt-bezogene Zugangsdaten) vor fremden Blicken beziehungsweise vor der Konkurrenz zu schützen. Dabei sollten Unternehmen bereits beim simplen Handling via E-Mail und Messenger oder beim Umgang mit Cloud-Diensten die nötigen Sicherheitsaspekte berücksichtigen. Den Unternehmen muss folgendes klar sein: Was an Überwachungsmaßnahmen technisch möglich und finanzierbar ist, das geschieht auch. Und speziell in Unternehmenskreisen sind Informationen der Konkurrenz heiß umkämpft. Je mehr unternehmensspezifisches Wissen und Können über Markt- und Zukunftschancen entscheiden, desto mehr wird versucht, jenseits aller Skrupel an diese Informationen heranzukommen. Und dabei ist es egal, ob es sich um Wirtschaftsspionage oder Konkurrenzspionage handelt. Bei letzterem agieren die Unternehmen ohne die Mittel der Geheimdienste.
Mit allen Mitteln werden heutzutage sämtliche Kanäle angezapft: E-Mail, Messenger, Festplatten, USB-Sticks, Telefon, Mobilfunk und natürlich die jeweiligen Cloud-Dienste. Neben den klassischen Hacks wie E-Mail-Phishing, wird die Schadsoftware im Allgemeinen immer raffinierter und resistenter: So hat man bereits Softwaretypen ausfindig machen können, die sich etwa in der Firmware von Festplatten einnisten und selbst Festplatten-Löschungen oder Neuinstallationen überstehen. Ist ein solch infizierter Rechner erst einmal am Firmennetzwerk angebunden, ist ein wirtschaftlicher Schaden programmiert. Der Bundesinnenminister schätzt den jährlichen Schaden auf 51 Milliarden Euro. Der VDI-Chef Ralph Appel äußerte gegenüber der Zeitung “Rheinische Post” sogar die Summe von 100 Milliarden Euro. Bei diesen Zahlen kann man allerdings schwer einschätzen, ob diese ausschließlich durch ein paar einzelne große Hacks oder tatsächlich auch durch viele kleinere Angriffe verusacht werden.
Zwischenruf: Was wird denn tatsächlich abgefischt?
Das Zauberwort lautet Verkehrsdaten. Uns allen sollte endlich klar sein, dass alleine schon die tagtäglichen Verkehrsdaten, das sind E-Mails, Telefonate, Gespräche, der Kopierer auf dem Gang oder auch der Mülleimer, genügend Informationen liefern, sodass man als Beobachter die eigentlichen Kommunikationsinhalte nur noch zusammensetzen muss. Grund genug, nicht nur im Büro vorsichtiger mit Informationen umzugehen; sondern bereits beim Home-Office oder beim immer beliebteren Cloud-basierten Arbeiten die Mitarbeiter zu sensibilisieren. Auch weil die Infrastrukturen in den eigenen vier Wänden oder in der digitalen Wolke keinerlei Industriestandards verfolgen – zumindest keine, die für die Unternehmenssicherheit bürgen. Und bei unseren Kunden wie Bosch, Zalando, arvato oder adidas sind lückenhafte Sicherheitskonzepte nicht akzeptabel.
Warum sind industrielle Daten so wertvoll? Was könnte beispielsweise passieren, wenn TUP seine IT- und Software-basierten Infrastrukturen nicht schützen; seine Mitarbeiter nicht kunden- und projektspezifisch sensibilisieren würde?
Wie bei jedem Industrieunternehmen würde die Gefahr bestehen, dass mit den entwendeten Informationen Prozesse innerhalb aber auch außerhalb des Unternehmens fremd- und ferngesteuert; im schlimmsten Fall heruntergefahren werden. Einen Ausfall, beziehungsweise ein erfolgreicher Hacker-Angriff würde uns rund 100.000 Euro pro Stunde kosten. Bei einem 24-Stunden-Betrieb wären wir bereits bei 2,4 Millionen Euro Schaden am Tag – für ein mittelständisches Unternehmen eine Katastrophe. Es ist und sollte für jedes Unternehmen selbstverständlich sein, vertrauliche Daten zu verschlüsseln. Ein weiterer Punkt auf der Sicherheitsagenda sind die projektspezifischen Geheimhaltungsklauseln, die wir unterschreiben müssen. Wenn also ein Mitarbeiter Informationen des Kunden unachtsam weiterreicht, versendet oder sich bei einem Bierchen “verplappert”, werden sogenannte vertraglich festgelegte Konventionalstrafen fällig. Diese können, wie alle anderen Strafen und Schäden, das Unternehmen aufs Spiel setzen – mindestens aber die eigene und die kundenseitige Reputation kosten.
Technisch gesehen arbeiten unsere Steuerungen, die Software sowie die Fördertechnik ausschließlich lokal und sind im eigentlichen Sinne nicht mit dem Internet dauerhaft verbunden – wir können diese zwar über das Internet ansteuern und anpassen, doch nur per VPN und einschränkende Access-Listen kommt eine Verbindung mit dem Kunden zustande. Offene Standard-Leitungen sind bei uns tabu. Jede Verschlüsselung wird also mit einem mehrstufigen Regelwerk “beidseitig” gesichert.
Am Industriestandort Karlsruhe und anderswo gilt daher die Regel, dass elektronische Systeme, die mit komplexer Steuerungssoftware auf umfangreiche Datenbanken zugreifen, auch verstanden werden müssen. Alles andere wäre digitaler Selbstmord. Klar ist, dass aufgrund des Internets sich die Anforderungen an die Fähigkeiten der Hardware, aber auch an Wartung und Service so grundlegend geändert haben, dass technische Lösungen neu konzipiert werden mussten und in Zukunft sich auch wieder neu erfinden müssen. Der Zugriff über VPN und anderen Verschlüsselungen bietet Kunden und dem Unternehmen selbst in Sachen Wartung und Service völlig neue Möglichkeiten. Möglichkeiten, die allerdings auch Risiken bergen, welche es im Vorfeld komplett zu eliminieren gilt.
Wagen wir einen Blick in die Zukunft? Was kommt in Sachen Wirtschaftsspionage auf uns zu? Verschläft der Mittelstand in Deutschland gar die Industrie 4.0, wenn beispielsweise auf Cloud-basierte Dienste verzichtet wird?
Natürlich verschlafen wir die Industrie 4.0 nicht, nur weil wir auf bestimmte digitale Werkzeuge verzichten. Den Unternehmen wird allerdings aufgezeigt, dass durch die Digitalisierung erhebliche und neuartige Sicherheitsrisiken auf sie zukommen. Der allgemeine Datenschutz spielt dabei sogar eine untergeordnete Rolle, vielmehr ist es dem Mittelstand wichtiger, dass eigene Know-how in den eigenen vier Wänden zu belassen. Uns sollte doch klar sein, dass es derzeit keine sichere Cloud gibt, auch die Gesetzeslage ist nicht eindeutig – für Unternehmen ein klares Signal, auch weiterhin auf sichere Alternativen zu setzen. Ein entscheidender Grund, warum wir bei TUP keinerlei Cloud-Dienste zusammen mit dem Kunden realisieren. Zwar ist die Technik für die Vernetzung von Produkten, Lieferketten und Lieferanten vorhanden; doch Stolpersteine liegen bereits bei der Gestaltung neuer Prozesse vor. Zudem werden bei den Begriffen Industrie 4.0, IoT (Internet of Things) und Physical Internet Abteilungs- und Unternehmensgrenzen überschritten, dabei unterschiedliche Datenquellen angezapft – Geheimhaltungsklauseln, Hacker-Angriffe, 100.000 Euro pro Stunde; sie erinnern sich!
Bildrechte Teaser: Dennis Skley / Lizenz: CC BY-ND 2.0