Mit Matthias Wachter, Abteilungsleiter Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt beim BDI, sprach Peter Niggl
Herr Wachter, der Bundesverband der Deutschen Industrie, der BDI, hat im Juni ein Positionspapier mit dem Titel „Resilienz gegenüber Sicherheitsrisiken stärken“ veröffentlicht. Gibt es dafür einen aktuellen Anlass?
Digitale und analoge Bedrohungen auf das Know-how und die Infrastruktur von Unternehmen haben in jüngster Zeit, vor allem während der Corona-Pandemie, exorbitant zugenommen. Unternehmen stehen vor der Aufgabe ihre Technologien und Lieferketten viel mehr als bisher auf potenzielle Schwachstellen gegenüber analogen und digitalen Gefahren zu überprüfen. Das wird umso wichtiger, als dass es neuartige Formen des Angriffs gibt, die über die bisherigen Formen, wie etwa Cyberangriffe oder Innentäter, hinausgehen. Für einen verstärkten Wirtschaftsschutz ist ein besseres Zusammenspiel zwischen Behörden und Unternehmen eine zentrale Grundvoraussetzung. Zugleich müssen wir Wirtschaftsschutz stärker als bisher als gesamtgesellschaftliche Aufgabe verstehen. Nur wenn wir unsere Wirtschaft vor Spionage, Sabotage und Datendiebstahl im Analogen wie im Digitalen schützen, sichern wir langfristig Arbeitsplätze, Know-how und Wohlstand am Standort Deutschland.
Das führt mich gleich zum für mich prägnantesten Punkt in dem Positionspapier. Gefordert wird dort ein Nationales Wirtschaftsschutzzentrum. Was muss ich mir darunter vorstellen?
Mit dem Papier machen wir als BDI mehrere Vorschläge, wie die Zusammenarbeit zwischen Wirtschaft und Behörden im Bereich Wirtschaftsschutz verbessert werden sollte. Ein Nationales Wirtschaftsschutzzentrum ist dabei eine wesentliche Komponente. Aktuell sind die Zuständigkeiten innerhalb der Bundesregierung und den nachgelagerten Behörden relativ zersplittert: Die Themen Wirtschaftsschutz und Cybersicherheit liegen federführend im Innenministerium, allerdings in unterschiedlichen Abteilungen. Für das Thema Geheimschutz ist das Wirtschaftsministerium zuständig. Die Dienste wiederum hängen zum Teil beim Innenministerium, der Bundesnachrichtendienst beim Bundeskanzleramt. Dieser offensichtlichen Vielschichtigkeit und Fragmentierung möchten wir mit einem Nationalen Wirtschaftsschutzzentrum, das die unterschiedlichen Aufgabengebiete stärker zusammenführt, begegnen. Neu an diesem Konzept ist, dass nicht nur die Behörden am Tisch sitzen, sondern auch die Unternehmen. Das Nationale Wirtschaftsschutzzentrum soll eine gemeinsame Institution von Wirtschaft und allen beteiligten Behörden sein…
… die Informationen zusammentragen?
Die Informationen zusammentragen, für ein besseres Lagebild sorgen, und die gewonnenen Informationen schneller an die Unternehmen zurückspielen. Dieser Prozess sollte in beide Richtungen gehen und sich nicht darauf beschränken, Bedrohungslagen oder Angriffe nur an die nächsthöhere Instanz zu melden. Für einen verbesserten Wirtschaftsschutz müssen Informationen aus den Behörden die Unternehmen schneller erreichen. Behörden erhalten mit einem solchen Zentrum einen genaueren Überblick über das, was die Unternehmen beschäftigt und was die konkreten Bedrohungslagen und ‑szenarien sind.
Haben Sie auch die Gesetzgebung im Blick?
Das wäre der übernächste Schritt. Wichtig ist zuerst, das Lagebild und den Informationsfluss in beide Richtungen zu verbessern. Danach können gesetzgeberische Impulse folgen, sollte es an einzelnen Stellen regulatorische Defizite geben.
In dem Positionspapier ist zu lesen, es müsse die „Sicherheitsarchitektur des Bundes einer strukturellen und prozessualen Bewertung und Neuordnung unterzogen“ werden. Inwiefern?
Wie bereits erwähnt, hat Deutschland im Bereich des Wirtschaftsschutzes ein hohes Maß an Fragmentierung. Die Frage ist, wie wir damit umgehen. Unsere Antwort als Industrieverband auf die Fragmentierung und die zunehmende Bedrohung durch Cyberangriffe ist das Nationale Wirtschaftsschutzzentrum. Zudem ist die Wirtschaft auf eine stärkere Sichtbarkeit und politische Koordination beim Wirtschaftsschutz im Analogen wie im Digitalen angewiesen. Daher fordern wir einen Koordinator für Wirtschaftsschutz im Rang eines Staatssekretärs oder Staatsministers. Das ist nichts Außergewöhnliches. In für die Politik besonders wichtigen Bereichen gibt es bereits Koordinatoren, beispielsweise den Luft‑ und Raumfahrtkoordinator der Bundesregierung oder der maritime Koordinator. Wenn alle zu der Einschätzung kommen, dass das Thema Wirtschaftsschutz immer wichtiger wird, wäre es eigentlich folgerichtig, diesen Schritt zur Etablierung eines Koordinators auch zu gehen. Der Branchenverband Bitkom hat letztes Jahr gezeigt, dass zwischen 2019 und 2020 drei Viertel aller Unternehmen Opfer von Sabotage, Spionage und Datendiebstahl waren. Der Schaden für die deutsche Wirtschaft betrug im gleichen Zeitraum mehr als 200 Milliarden Euro. Das ist Geld, das deutschen Unternehmen für Innovationen und die Sicherung von Beschäftigung hierzulande fehlt. Zudem gibt es immer ausgebufftere Wege, um die Unternehmen anzugreifen, Daten abzuschöpfen und Technologien zu klauen. Innentäter zum Beispiel schöpfen technologisches Know-how ab. Allein aus strategischen Gründen muss sich die Bundesregierung viel stärker mit dem Schutz der Unternehmen beschäftigen und auf der politischen Agenda priorisieren.
In Ihrem Papier schreiben sie auch: „Im sich verschärfenden geopolitischen Wettbewerb werden wirtschaftliche Macht und Mittel zunehmend für politische Zwecke eingesetzt.“ Zielt das auf die Sanktionspolitik?
Sanktionen sind ein handelspolitisches Instrument, welches ich hier nicht an erster Stelle sehe. Es geht zum Beispiel um Unternehmen, die über Spitzentechnologien verfügen und denen eine Übernahme droht. Gerade Aufkaufversuche, bei denen der Kaufinteressent bereit ist, einen exorbitanten Preis zu zahlen, der sich wirtschaftlich nicht rechnen lässt, gilt es zu hinterfragen. Ich möchte das Beispiel von einem deutschen Technologieunternehmen geben. Das Unternehmen ist Weltmarktführer im Bereich Laserkommunikation, eine Technologie, die vor allem für die Raumfahrt und die globale Vernetzung immanent wichtig wird, weil sie große Datenmengen über große Entfernungen in Echtzeit übermittelt. Chinesische Investoren waren mehr am Know-how des Unternehmens und weniger an einer intensiveren Zusammenarbeit interessiert. Am Ende hat die Bundesregierung richtigerweise eine Zusammenarbeit untersagt. Dieses Instrument der Untersagung sollte die Bundesregierung künftig stärker im Blick haben, um beispielsweise einen potenziellen Ausverkauf deutscher Spitzentechnologie vorzubeugen. Darin würde ich ein wichtigeres Instrument sehen als in handelspolitischen Sanktionen.
Das bringt mich zu dem Passus in dem Positionspapier, in dem es heißt, geistiges Eigentum der deutschen Industrie fließe – auch im Austausch mit staatlichen Behörden – vermehrt illegal ab. Klingt als seien die Kommunikationswege mit offiziellen Stellen sehr löchrig. Täuscht der Eindruck?
Gerne verdeutliche ich die Antwort an einem fiktiven Beispiel. Ein deutsches Unternehmen bewirbt sich, den Zuschlag in einer Ausschreibung für einen Auftrag in Ägypten zu erhalten. Es steht dabei im Wettbewerb mit ausländischen Konkurrenten. Am Ende fragen sich die deutschen Verfahrensbeteiligten oft, wie es sein kann, dass sie den Auftrag nicht erhalten haben, nur, weil der Wettbewerber etwas günstiger war. Obwohl dieses Szenario fiktiv ist, berichten uns Unternehmen immer wieder solche Fälle. Gleichzeitig berichten Unternehmen von Herausforderungen bei der Vermittlung von Informationen, die sie unter größtem Geheimschutz in ihrem Haus verwahrt haben, aber aufgrund politischer Unterstützung an die Bundesregierung geben, z.B. für eine Hermes-Bürgschaft zur Absicherung von Exporten. Häufig entsteht der Eindruck, dass auf diesem Kommunikationsweg von Unternehmen zur Bundesregierung Informationen abgefangen werden und bei Wettbewerbern landen. In solchen Fällen braucht es eine sicherere Kommunikation. Ich überzeichne hier bewusst, aber das Problem ist absolut real. Die Firmen hüten ihre Daten nach allen gebotenen Sicherheitsvorgaben, sie werden auf eigenen Servern verwahrt, nichts kommt in die Cloud. Dann aber müssen die Unternehmen ihre Daten via E-Mail mit Behörden in Deutschland oder Drittstaaten austauschen oder es wird eine Videokonferenz über Webex unverschlüsselt anberaumt. Das kann alle Anstrengungen für Datensicherheit mit einem Schlag obsolet machen. Aber auch durch eine gesetzlich vorgesehene Schwächung der Verschlüsselung von Messenger-Kommunikation durch Backdoors und Generalschlüssel, wie unlängst vom Europäischen Ministerrat vorgesehen, würden wir in Europa Personen aus Drittstaaten deutsches Unternehmens-Know-how auf dem Silbertablett servieren.
In dem Positionspapier des BDI wird konstatiert, dass Angriffe unter anderem durch interne Mitarbeiter erfolgen. Deshalb wird gefordert, die Vertrauenswürdigkeit von Mitarbeitenden durch eine staatliche Sicherheitsüberprüfung kontrollieren lassen zu können…
… was bereits heute erfolgt. Wenn ein Rüstungsunternehmen für die Bundesrepublik Deutschland arbeitet oder einen entsprechenden Auftrag erfüllt, dann werden Mitarbeiterinnen und Mitarbeiter, die an diesem Auftrag arbeiten und an sensiblen Stellen sitzen, von der Amtsseite überprüft. Dabei handelt es sich um die sogenannten geheimschutzbetreuten Unternehmen. Das reicht nicht aus. Bisher ziehen sich solche Sicherheitschecks über viele Monate und werden für Unternehmen zuweilen sogar zum Showstopper, weil sie in gewissen Bereichen nicht weiterarbeiten können. Die Behörden müssen diese Prozesse beschleunigen, optimieren und auch auf nicht geheimschutzbeauftragte Unternehmen ausweiten. Die Bundesregierung hat unlängst mit dem IT-Sicherheitsgesetz 2.0 die Cybersicherheitsanforderungen an Unternehmen umfangreich ausgeweitet. Das Problem ist: Technologische und organisatorische Maßnahmen greifen ins Leere, wenn sie von Personen umgesetzt werden, die dem Unternehmen schaden wollen. Das ist zwar nur ein geringer prozentualer Anteil, der jedoch massive Schäden verursachen kann. Daher sollte die Bundesregierung von den Unternehmen nicht nur immer mehr fordern, sondern auch selbst einen Beitrag zum Schutz der Wirtschaft leisten. Unternehmen sollten die Möglichkeit bekommen, in sicherheitskritischen Bereichen tätige Mitarbeitende einer polizeilichen Sicherheitsüberprüfung zu unterziehen. Die Beschleunigung der bestehenden Abläufe ist eine Forderung, die von sehr vielen Unternehmen an uns herangetragen wird.
Sie gehen in Ihrer Auflistung der Bedrohungen für Unternehmen sehr ins Detail, da werden auch Geldwäsche und Waffenhandel aufgeführt. Besteht dafür eine Notwendigkeit, sind das nicht in diesem Zusammenhang eher Marginalien?
Es ist längst nicht mehr so, dass ein Dieb über den Zaun klettert, vom Betriebsgelände etwas mitnimmt und dann wieder verschwindet. Die Bedrohungslage ist mannigfaltiger geworden, ständig kommen neue Bedrohungsvektoren hinzu. Wer Wirtschaftsschutz zeitgemäß fassen will, sollte den Blick über die klassischen Fälle, wie etwa Wirtschaftsspionage, erweitern.
In dem Positionspapier werden Gefahren angesprochen, wie etwa die Unterbrechung der Lieferketten, aus ganz unterschiedlichen Gründen auftreten können, ich nenne hier jüngste die Schiffshavarie im Suezkanal. Soll sich das Nationale Wirtschaftsschutzzentrum mit allen diesen Bedrohungen befassen?
Ziel ist nicht, mit dem Nationalen Wirtschaftsschutzzentrum eine bürokratische Monsterbehörde zu schaffen. Betriebsunterbrechungen auf Grund technischer Probleme oder menschlichem Versagen gehören nicht zur Kernkompetenz und werden entsprechend nicht abgebildet. Der Fokus des Zentrums sollte auf der Abwehr von Angriffen auf die Wirtschaftssicherheit liegen, um die Wettbewerbsfähigkeit des Industriestandorts Deutschland zu stärken, Wohlstand und Expertise zu sichern.
Mehr Artikel vom Autor
Peter Niggl
Peter Niggl, Journalist und Chefredakteur der Fachzeitschrift Security Insight