Klare Strategien für den Wirtschaftsschutz
IT-Attacken, Sabotageakte, Innentäter – die Gefahren für die Wirtschaft wachsen. Was ist dagegen zu tun? Mit Günther Schotten, Geschäftsführer des ASW-Bundesverbands, sprach Andreas Albrecht
Herr Schotten, worin besteht der Unterschied zwischen Unternehmenssicherheit und Wirtschaftsschutz? Gibt es hier überhaupt einen Unterschied, oder handelt es sich dabei nur um zwei Seiten derselben Medaille?
Nein, hier gibt es schon Unterschiede. Bei der Unternehmenssicherheit kommt es vor allem darauf an, Konzepte zu entwickeln, die aufgrund der Gefährdungs- und Risikobeurteilung zur Risiko-Minimierung des einzelnen Unternehmens beitragen. Die Unternehmenssicherheit ist zudem sehr heterogen aufgestellt; nicht jedes Unternehmen hat die gleichen Aufgaben zu bewältigen.
Im Gegensatz dazu bezieht sich der Wirtschaftsschutz auf die Entwicklung einer Wirtschaftsschutzstrategie, die auf der nationalen Sicherheitsstrategie basiert. Diese wiederum fußt auf der europäischen Strategie für Wirtschaftssicherheit, die am 20. Juni 2023 von der EU ins Leben gerufen wurde. Derzeit wird in Deutschland die nationale Wirtschaftsschutzstrategie erarbeitet, federführend vom BDI (Bundesministerium des Innern und für Heimat). Das Thema wird stark von der parlamentarischen Staatssekretärin Rita Schwarzelühr-Sutter vorangetrieben. Wir als Verband begrüßen, dass auf eine ganzheitliche Betrachtungsweise und ein abgestimmtes Vorgehen gesetzt wird. Der Schwerpunkt liegt hierbei auf der Abstimmung zwischen Staat und Wirtschaft.
Sie selbst waren bei der Allianz über 30 Jahre lang für Sicherheit zuständig und haben zweifellos tiefe Einblicke in die Unternehmenssicherheit dieses Konzerns. Nimmt das Thema Sicherheit bei kleinen und mittelständischen Unternehmen (KMU) Ihrer Einschätzung nach eine genauso wichtige Rolle ein?
Ich würde bei der Gewichtung grundsätzlich keinen großen Unterschied zwischen kleinen und großen Unternehmen machen. Ein KMU kann mit seinen Produkten ebenso ein Champion sein, der weltweit präsent und in seinem Segment Marktführer ist. Es muss nicht immer nur der große Konzern sein. Ein Beispiel: Es gibt laut einer Studie mittlerweile etwa 2.000 Hidden Champions, von denen rund die Hälfte aus Deutschland stammt. Das zeigt, dass wir hier gut aufgestellt sind und Unternehmen haben, die aufgrund ihrer Innovationen Weltmarktführer sind. Ein konkretes Beispiel ist die Firma Rational, die professionelle Küchengeräte zur thermischen Speisezubereitung herstellt. Das Sortiment umfasst nur drei Produktkategorien, aber damit hält Rational etwa 50 Prozent des Weltmarktes. Das verdeutlicht die Leistungsfähigkeit eines KMU.
Für mich ist nicht die Größe des Unternehmens entscheidend, sondern dessen Marktposition und das Produkt, das es anbietet. Darauf muss die Risikobehaftung basieren. Natürlich gilt: Je kleiner ein Unternehmen ist, desto schneller und flexibler kann es in der Regel reagieren. Ein KMU hat oft schnellere Entscheidungswege, weil es häufig inhabergeführt ist. Im Vergleich zu großen Unternehmen, die oft wie ein Tanker agieren, kann ein KMU effizienter im Risikomanagement aufgestellt sein. Die Sicherheit bei einem KMU wird oftmals durch den Inhaber selbst oder in einer Zweitfunktion durch IT oder Facility Management etc. durchgeführt, während in großen Unternehmen die Sicherheit oft von einem Chief Security Officer (CSO) geleitet wird, der über eine entsprechende Ausbildung im Bereich Security verfügt.
Gibt es signifikante branchenspezifische Unterschiede, welchen Stellenwert die Cybersicherheit in Unternehmen einnimmt, Stichwort kritische Infrastrukturen? Das KRITIS-Dachgesetz, das für den 18. Oktober 2024 angekündigt war, lässt ja nach wie vor auf sich warten.
Wesentlich ist immer die Qualität der Risikobetrachtung. Jedes Unternehmen muss sich klar darüber sein, wo seine Risiken liegen und was es zur Risikominimierung tun kann. Für alle Unternehmen, ob KRITIS oder nicht, ist die Verfügbarkeit ihrer Systeme essentiell. Das KRITIS-Dachgesetz wird kommen, und darin wird klar geregelt, welche Unternehmen künftig zu den kritischen Infrastrukturen gehören werden und welche nicht. Allerdings können Angriffe von Cyberkriminellen auch über kleinere Zulieferfirmen erfolgen. Diese Kriminellen beobachten genau, mit welchen Unternehmen die großen Firmen vernetzt sind, und versuchen, über Zulieferer in deren Netze einzudringen. Insofern sind kleinere Unternehmen oft ein Angriffsziel.
Außerdem vermischen sich immer mehr organisierte Kriminalität und nachrichtendienstlich subventionierte Kriminalität. Oft ist bei einem Hacker-Angriff auf eine Firma kein klarer Unterschied zwischen kriminellen und staatlich gesteuerten Interessen zu erkennen ist. Der Angreifer kann überall auf der Welt sitzen, was die Nachverfolgung der Angriffe enorm erschwert. Deshalb muss sich jedes Unternehmen, unabhängig von seiner Größe, um seine Sicherheit kümmern. Ohne IT geht heute nichts mehr, das sollte jedem bewusst sein. In den Medien wird fast täglich über diese Themen berichtet, und es herrscht eine hohe Awareness. Das BSI, unter der Leitung von Claudia Plattner, kommuniziert stark und bietet viele Hilfsformate an. Früher war das BSI nur für staatliche Netze zuständig, doch mittlerweile haben sie ihre Arbeit ganzheitlich ausgeweitet und leisten einen guten Job. Wenn sich viele Unternehmen mit Problemen an das BSI wenden, können auch hier natürlich die Ressourcen schnell erschöpft sein. Aber insgesamt leistet das BSI momentan wirklich gute Arbeit. Über Behörden wird viel geschimpft, aber es ist auch wichtig, Lob auszusprechen, wenn es angebracht ist, und das ist es in diesem Fall.
Welche konkreten Maßnahmen vom BSI haben Sie denn in letzter Zeit beeindruckt?
Es gibt viele Dinge, die positiv hervorzuheben sind. Ein Beispiel ist das Cyber-Centrum, das sie aufgebaut haben. Außerdem haben sie interne Ressourcen optimiert und die Informationsketten verbessert. Das BSI bietet auch viel Awareness-Arbeit an und hat Informationsangebote für KMUs geschaffen, die sich registrieren können, um in Verteiler aufgenommen zu werden. So erhalten sie Warnungen, wenn Angriffe stattfinden, beispielsweise über bestimmte IP-Adressen. Das ist ein sehr gutes Angebot.
Kommen wir von der Cybersicherheit zurück zu einem großen physischen Problem, nämlich den sogenannten Innentätern. Werden diese gezielt eingeschleust oder radikalisieren sie sich übers Internet und werden dann zu Saboteuren?
Grundsätzlich muss man sagen, dass der Innentäter immer eine große Herausforderung für die Sicherheit eines Unternehmens ist. Er hat Einblicke in interne Abläufe und kennt bestimmte Schutzmaßnahmen. Das ist ein erhebliches Problem, insbesondere in Situationen, in denen die Sicherheitsvorkehrungen möglicherweise nicht greifen.
Es ist aber auch wichtig zu betonen, dass der Innentäter nicht immer ein Mitarbeiter des Unternehmens sein muss. In jedem Unternehmen gibt es auch externe Dienstleister mit Arbeitsplatz in den Unternehmen und diese verfügen oftmals über dasselbe Wissen wir die Mitarbeiter. Diese Herausforderung wird verstärkt, wenn man in solchen Situationen ist, in denen man die Risiken erkennen muss. Technische Probleme können hier zusätzliche Komplikationen verursachen, was die Sicherheitslage weiter erschwert.
Ein Innentäter kann zum Beispiel auch ein Handwerker sein, der in der Firma arbeitet, oder externe IT-Dienstleister, die für Wartungsarbeiten zuständig sind. Es gibt viele potenzielle Angriffspunkte. Oftmals resultieren die Handlungen von Innentätern aus persönlichen Motivationen, etwa wenn ein Mitarbeiter den Arbeitsplatz verliert, weil die Firma einen Auftrag nicht erhält. Diese Verbindung zwischen Arbeitsplatzverlust und kriminellen Handlungen ist häufig.
Auch die organisierte Kriminalität gewinnt immer mehr an Einfluss. In welchen Wirtschaftsbereichen sehen Sie hier momentan die größten Probleme?
Die organisierte Kriminalität hat insbesondere im Finanzsektor großen Einfluss. Dazu gehören Banken, Finanzdienstleister und Versorgungsunternehmen. Ein zentrales Thema ist die Geldwäsche. In der Versicherungsbranche ist beispielsweise die Lebensversicherung ein potenzielles Mittel zur Geldwäsche: Hier kann jemand eine hohe Anzahlung von 21.000 bis 30.000 Euro leisten, um dann die Einzahlung in einer Weise zu nutzen, die das Geld effektiv wäscht. Der Finanzsektor ist unterliegt hier einer besonderen Gefährdung, weshalb es auch Geldwäschebeauftragte gibt, die in diesem Bereich tätig sind.
Wie sieht es bei der Clan-Kriminalität aus? Auch hier nehmen die Probleme durch immer mehr Banden zu.
Ja, das ist ein weiteres Problem. Clan-Kriminalität betrifft Bereiche wie das Rotlichtmilieu oder Drogenhandel, wo Konkurrenzkämpfe unter den Clans herrschen. Diese Auseinandersetzungen sind häufig brutal und gewalttätig. Allerdings liegt der Fokus in der Diskussion über organisierte Kriminalität nicht primär auf dem Wirtschaftsstandort Deutschland, sondern eher auf einzelnen Bereichen wie dem Einzelhandel, Diskotheken und anderen Lokalitäten, die für Geldwäsche oder Betrug genutzt werden.
Insgesamt steht aber die Geldwäsche eindeutig im Mittelpunkt der organisierten Kriminalität. Diese Aktivitäten sind eng mit verschiedenen Gewerben und Korruption verknüpft. Ein weiteres Beispiel ist der Kupferhandel, der in den letzten Jahren durch massive Diebstähle und organisierte Kriminalität in den Fokus gerückt ist.
Wie schätzen Sie die Bedrohungen durch staatliche Akteure momentan ein? Beobachten Sie zunehmende Sabotage- und Spionageaktionen?
Ja, der Verfassungsschutz hat in letzter Zeit einige Erfolge verzeichnet, was Festnahmen betrifft. Allerdings gibt es viele verschiedene Akteure in diesem Bereich. Ein markantes Beispiel war der Vorfall bei der Deutschen Bahn, als Kabel durchtrennt wurden, was zu massiven Störungen im Bahnverkehr führte. Auch der Anschlag auf Nord Stream 2 war ein bemerkenswertes Ereignis, ebenso wie die Sabotageaktionen, die im Tesla-Werk signifikante Schäden verursacht haben. Es ist wichtig zu betonen, dass nicht alle diese Aktionen staatlich gesteuert sind; es gibt auch Aktivisten, die aus Umweltgründen handeln. Oft bleibt unklar, ob es staatliche Sponsoren gibt, die solche Gruppen unterstützen oder anregen, Sabotageakte durchzuführen.
Wir beobachten auch Angriffe auf Logistikunternehmen, die Rüstungsgüter in die Ukraine transportieren. In diesem Bereich tut sich momentan sehr viel. Ein Kollege berichtete mir von 30 bis 40 Drohnenüberflügen über ein Werk in einer Nacht, was bedenklich ist. Drohnen können zur Aufklärung verwendet werden, um kritische Infrastrukturen zu identifizieren, die an einem bestimmten Tag für militärische Zwecke von Interesse sein könnten, falls sich der Konflikt weiter verschärfen sollte.
Wir können also festhalten, dass die Gefahren für die Wirtschaft insgesamt immer weiter zunehmen. Welche Maßnahmen werden aus Ihrer Sicht in den nächsten Jahren entscheidend sein, damit sich die Sicherheit der Wirtschaft deutlich und spürbar erhöht?
Wir müssen Wege finden, uns zu optimieren. Es gibt viele gute Formate, aber oft macht jeder sein eigenes Ding ohne über den Tellerrand zu blicken. Dies führt dann dazu, dass die Lösungen nicht aufeinander abgestellt sind, oder Doppelungen entstehen können. Die nationale Sicherheitsstrategie sieht vor, dass wir aus unseren Silos herauskommen und einen ganzheitlichen und gemeinsamen Ansatz Staat und Wirtschaft wählen müssen. Das erfordert, dass wir miteinander kommunizieren und zusammenarbeiten, auch wenn es dabei manchmal Kompetenzgerangel gibt. Wir müssen über unseren eigenen Schatten springen, denn die Gegenseite agiert schnell und flexibel auf Veränderungen. Wir müssen ebenfalls schneller werden.
Ein zentraler Punkt ist die Reduktion von Schnittstellen und Komplexität. Es geht nicht immer darum, neue Formate zu schaffen; wir sollten zunächst eine Bestandsaufnahme machen, um herauszufinden, was in Deutschland funktioniert und wo wir nachjustieren müssen. Statt ständig das Rad neu zu erfinden, sollten wir bestehende Lösungen optimieren und verbessern.
Ein weiteres Problem ist die Überregulierung. Die Vielzahl an nationalen und internationalen Richtlinien führt zu Unsicherheit im Markt. Wenn der Bundeskanzler auf dem Arbeitgebertag erklärt, dass das Lieferkettengesetz zurückgezogen wird, zeigt das, dass wir manchmal am Ziel vorbeischießen. Wir tendieren dazu, nach der perfekten Lösung zu streben, was uns oft daran hindert, schneller zu handeln. Manchmal ist es wichtig, auch mit einer 80-prozentigen Lösung zu beginnen und die restlichen 20 Prozent später zu optimieren. In der Zeit, in der wir auf die perfekte Lösung warten, könnten viele Dinge bereits passiert sein, die mit einer pragmatischen Lösung hätten verhindert werden können.
