Jedes Unternehmen sollte prüfen, wo seine Verwundbarkeiten sind

Ein Gespräch mit Franz Polenz, Leiter Konzernsicherheit Siemens Energy, über die allgemeine Bedrohung durch Spionage und Sabotage

Herr Polenz, welchen Raum nehmen die Themen Spionage und Sabotage in Ihrer täglichen Arbeit als Sicherheitsverantwortlicher eines großen Unternehmens ein? 

Der Schutz gegen Wirtschaftsspionage und Sabotage ist in der Unternehmenssicherheit zwar nur eines von vielen Themen, aber ein sehr relevantes. Die potenziellen Schäden können schon bei einem einzigen kritischen Vorfall verheerend sein. Das Thema hat deutlich an Relevanz gewonnen, was sich auch in unserer Arbeitslast widerspiegelt.

Wie hat sich die Bedrohungslage denn in den letzten Jahren entwickelt, quantitativ wie auch qualitativ?

Wie man unter anderem den öffentlich zugänglichen Informationen der deutschen Sicherheitsbehörden entnehmen kann, hat sich die Bedrohungslage insbesondere seit Beginn des Ukraine-Krieges deutlich verschärft. Wir befinden uns in Deutschland im Fokus einer sogenannten hybriden Kriegsführung durch die Russische Föderation. Das ist eine gesamtgesellschaftliche Bedrohung und somit auch eine für Unternehmen. Gerade Unternehmen im Bereich der Kritischen Infrastruktur sehen sich einer erhöhten Gefährdung durch Sabotage und Spionage ausgesetzt. Die Bedrohung ist nicht neu, aber in den letzten zwei, drei Jahren ist ein massiver Anstieg zu verzeichnen.

Und gerade im Bereich der Kritischen Infrastruktur ist ein Angriff auf ein Unternehmen letztlich ein Angriff aufs Land...

Richtig. Es greift alles ineinander. Man sollte sich auch davor hüten zu sagen, dass nur eine bestimmte, kleine Gruppe von Unternehmen betroffen ist. Heutzutage muss jedes Unternehmen prüfen, wo seine Verwundbarkeiten sind. Die Vektoren sind vielfältig, Angriffe können auf die physische Infrastruktur, durch Personen oder in Form von Cyberangriffen erfolgen. Auf ein Unternehmen selbst oder auf dessen Zulieferer. Insbesondere Cyberangriffe haben in den vergangenen Jahren massiv zugenommen. Deswegen sind die Unternehmen gehalten, eine saubere Risikoanalyse durchzuführen, um den vielfältigen Bedrohungen entgegenzuwirken.

Sprechen wir über Spionage. Geht es bei Unternehmen im Wesentlichen um Wirtschaftsspionage?

Die klassische Knowhow-Ausspähung oder Konkurrenzspionage ist sicherlich ein wichtiger Punkt. Allerdings sind in den Ländern, die in den Verfassungsschutzberichten immer wieder als Akteure genannt werden, die jeweiligen staatlichen Nachrichtendienste sehr eng verknüpft mit konkreten Wirtschaftsinteressen. Es lässt sich daher oftmals nicht sauber trennen, ob es bei der Ausspähung von Know-How um rein wirtschaftliche oder um geopolitische Interessen geht. Für ein Unternehmen ist diese Frage letztlich aber auch zweitrangig. Die Gefährdung ist da, man muss versuchen sie zu erkennen und entsprechende Methoden zur Abwehr implementieren.

Können Sie die Folgen skizzieren, die eine wie auch immer motivierte Ausspähung für ein Unternehmen haben kann?

Wenn Sie heute Know-how verlieren, kann das bedeuten, dass zu einem gewissen Zeitpunkt ihre Produkte im Ausland von einer fremden Firma mit ihrer Technologie gebaut werden, die illegal erworben wurde. Für kleinere und mittelständische Unternehmen kann dies im schlimmsten Falle den wirtschaftlichen Ruin bedeuten. Für größere Unternehmen kann es bedeuten, dass man Marktvolumen verliert, Produktlinien einstellen muss und am Ende Stellen abgebaut werden müssen. Der individuelle Schaden eines Unternehmens führt in der Regel somit auch immer zu volkswirtschaftlichen Gesamtschäden.

Welche Möglichkeiten haben Unternehmen, eine Ausspähung frühzeitig zu bemerken? 

Das Wichtigste sind zunächst aufmerksame Mitarbeiterinnen und Mitarbeiter. In einem Forschungs- und Entwicklungsbereich beispielsweise, der als Sonderzutrittszone definiert ist, haben die dort Beschäftigten die Aufgabe sicherzustellen, dass niemand Unbefugtes diesen Bereich betritt. Ein Unternehmen muss klar benennen können, was sind die kritischen Bereiche, wo wird Know-how produziert, wo befinden sich die sogenannten Golden Nuggets. Diese Bereiche kann man dann entsprechend schützen, durch aufmerksame Mitarbeiterinnen und Mitarbeiter, durch physikalische Barrieren und ein entsprechendes Zutrittskontrollkonzept. In der Cybersecurity kann man Applikationen wie Data Leakage Prevention einsetzen, die eine Alarmmeldung auslösen, wenn jemand zum Beispiel auffällig hohe Datenmengen von einem Laufwerk kopiert. Durch ein holistisches, abgestimmtes Sicherheitskonzept kann man Risiken also deutlich minimieren. 

Welche Rolle spielt das Thema Innentäter, also eigene Beschäftigte, aber auch externe Partner und Lieferanten?

Zunächst ist wichtig, dass ein Unternehmen seinen Mitarbeitern und Geschäftspartnern vertrauen kann. Man darf das Thema Innentäter aber nicht ignorieren. Bei kritischen Bereichen muss man sich die Frage stellen, wer geeignet ist, dort zu arbeiten. Die Antwort ist nicht immer einfach. Beim Thema Background-Checks zum Beispiel gibt es in Deutschland klare rechtliche Grenzen, die Unternehmen einhalten müssen. Was bedeutet, dass man am Ende auch hier sicherlich ein gewisses Restrisiko akzeptieren muss.

Kommen wir von der Spionage zur Sabotage. Vorfälle wie der Angriff auf Unterseekabel in der Ostsee schaffen es in die Tagesschau. Das ist aber nur die Spitze des Eisbergs. Welche Angriffe erleben Unternehmen tagtäglich? 

Nicht alle Angriffe haben einen Hintergrund, der sich auf einen fremden Nachrichtendienst oder Staat beziehen. Neben normaler Kriminalität wie Diebstählen an Unternehmensstandorten sieht man mit einer gewissen Regelmäßigkeit Aktionen und strafbare Handlungen von Umweltaktivisten oder extremistischen Gruppierungen. Das kann Vandalismus beinhalten wie Farbanschläge oder Brandstiftungsdelikte gegen Firmenfahrzeuge. Dann gibt es Vorfälle ohne eigentliche Sachbeschädigung, zum Beispiel Proteste, bei denen Aktivisten sich an ein Werkstor anketten und die Zufahrt blockieren. Diese Art von Störungen ist für Unternehmen eher ein Reputationsthema, weil Aktivisten Soziale Medien nutzen, um öffentlichkeitswirksam gegen ein Unternehmen zu protestieren. Eine solche Situation ist aus Sicherheitssicht zumeist relativ schnell vorbei, erfordert möglicherweise aber ein gutes Krisenkommunikations-Management, indem man ein entsprechendes, korrigierendes Narrativ in der Öffentlichkeit platziert.

Wir haben über die vielfältigen Bedrohungen gesprochen. Wie gut ist Deutschland auf solche Gefahren vorbereitet? Sind deutsche Unternehmen und Organisationen heute resilienter als vor fünf oder zehn Jahren?

Wir sind resilienter als vor fünf Jahren, aber noch nicht resilient genug. Wenn wir in andere Länder schauen, haben wir in Deutschland noch Nachholbedarf. In den skandinavischen Ländern beispielsweise ist die gesamte Gesellschaft und damit auch das Individuum und die Wirtschaftsunternehmen deutlich besser vorbereitet, was Zivilverteidigung angeht. Der Ukraine-Krieg war für viele ein Weckruf. Wir sind in Deutschland resilienter geworden, aber weder in der Gesamtgesellschaft noch in den Unternehmen ist die viel beschworene „Zeitenwende“ im Bereich unserer Sicherheit vollumfänglich angekommen.

Welche Rolle spielen Gesetzesvorhaben wie das KRITIS-Dachgesetz und die Umsetzung der NIS2-Richtlinie für die Prävention und das Bewusstsein für Bedrohungen? 

Sie senden ein Signal an die Verantwortlichen im Management, dass wir besser werden müssen in der Umsetzung von Sicherheitsanforderungen. Allerdings sind höhere Investitionen in die Sicherheit manchmal schwierig umzusetzen, weil das Management begrenzte Ressourcen hat und gegenüber den Aktionären und dem Aufsichtsrat für den Gesamterfolg des Unternehmens verantwortlich ist. Daher müssen viele wichtige Themen bei der Ressourcenzuteilung ausgewogen betrachtet werden. Bei der Umsetzung gesetzlicher Regelungen kommt es aber insbesondere auch auf die Qualität der jeweiligen Gesetze an. Wenn mit neuen gesetzlichen Regelungen im Bereich der Sicherheit nur bürokratische Meldepflichten gefordert werden, es aber keinen Zuwachs an realer Sicherheit gibt, dann bringt das relativ wenig. Wenn gesetzliche Regelungen den Unternehmen aber bei ihrer Risikoanalyse und der Umsetzung zielgerichteter Schutzmaßnahmen helfen, dann sind sie sowohl für die Awareness als auch für das faktische Schutzniveau sinnvoll.

Vor allem kleinere und mittlere Unternehmen haben noch Nachholbedarf beim Thema Sicherheit. Was sollte ich als Unternehmen in einer solchen Situation tun und wo finde ich Hilfe?

Zunächst einmal ist wichtig, dass ich eine methodisch saubere Risikoanalyse mache. Was mache ich, welchen Bedrohungen bin ich ausgesetzt, welche Schwachstellen habe ich, wie hoch ist das Risiko? Dann prüfe ich, wie ich dieses Risiko minimieren kann. Dafür sollte ich mir kompetente Ansprechpartner suchen. Für Spezialthemen kann das ein Beratungsunternehmen sein. Für allgemeine Sicherheitsthemen gibt es sehr gute Hilfestellungen durch die IHKs oder Verbände wie den ASW und die entsprechenden Landesverbände. Es gibt mittlerweile fast in jeder Landes- oder Bundessicherheitsbehörde eine Ansprechstelle für Wirtschaftsschutz. Von daher können auch KMUs sich mittlerweile sehr gut informieren, was Risikoanalyse und Unternehmenssicherheit betrifft.

Herr Polenz, was würden Sie sich mit Blick auf die besprochenen vielfältigen Bedrohungen von der nächsten Bundesregierung wünschen?

Wie erwähnt, arbeiten Behörden schon viel enger mit der Wirtschaft zusammen. Manchmal könnte diese Zusammenarbeit aber schneller sein. Das fängt an bei der Terminfindung für einen gemeinsamen Austausch oder bei Reaktionszeiten auf eine Email-Anfrage. Es gibt auch gute Beispiele, wie etwa die Global Player Initiative des Bundeskriminalamtes oder die Bestrebung, eine Nationale Wirtschaftsschutzstrategie zu erstellen. Es wäre wünschenswert, dass diese Strategie am Ende einen tatsächlichen Mehrwert für Unternehmen bietet. Hier würde ich mir von der nächsten Bundesregierung wünschen, dass das Thema Wirtschaftsschutz nicht nur auf deklaratorischer Ebene betont wird, sondern dass entsprechende Ressourcen und Strukturen dahinterstehen, um die Unternehmen in Deutschland zielgerichteter zu unterstützen.

Warten wir ab, ob es so kommt. Vielen Dank für das Gespräch!