Titelstorys in der WirtschaftsWoche

2013: Titelstory in der WirtschaftsWoche 28/2013 vom 8.7.2013 über die Enthüllungen des ehemaligen NSA-Agenten Edward Snowden und Big Data als neue Waffe im Wirtschaftskrieg

Der Spion, der mich siebte

Das Internet ist längst das Nervensystem der globalen Wirtschaft. Zugleich aber haben es die Geheimdienste zu ihrem mächtigsten Werkzeug gemacht. Mithilfe modernster Datenanalysen durchleuchten sie Staaten und Bürger - und spionieren offensiv Unternehmensgeheimnisse aus. Was wirklich hinter Prism & Co. steckt.

Zu jedem guten Spionagethriller gehören ein Geheimagent, der die Welt retten will, eine schöne Frau und ein U-Boot mit außergewöhnlichen Fähigkeiten. Beginnen wir damit.

Als im Juni 2004 das U-Boot USS Jimmy Carter vom Stapel läuft, wissen nur wenige Eingeweihte, welche Technik für höchst ungewöhnliche Spezialoperationen darin steckt. Das atomgetriebene 138-Meter-Ungetüm kann laut Geheimdienstexperten erstmals am Meeresgrund unbemerkt Glasfaserkabel anzapfen. Das ist eine Revolution in der Geheimdienstwelt.

Denn durch die Datenadern in Atlantik und Pazifik pocht der Puls der weltweiten Kommunikation: Telefonate, E-Mails, alles, was Menschen und Unternehmen elektronisch austauschen. Wer den Datenstrom abgreifen und auswerten kann, weiß, was die Welt bewegt. Allen voran US-Geheimdienste. Sie schickten die Jimmy Carter zum Meeresgrund und bauten unbemerkt Abzweigungen in die Leitungen ein. Über eigene Kabel - vermuten Experten - leiteten sie nun einen Teil der Daten auf die eigenen Rechner.

Das war nur ein erster Schritt: Seit 18 Monaten arbeiten die US-Agenten zusätzlich mit britischen Kollegen und privaten Telekommunikationsfirmen zusammen, um dort Daten abzufangen, wo es zuvor unmöglich war: an den wichtigsten Netzknotenpunkten, durch die der Datenstrom zwischen Europa und den USA fließt. Hier konnten die Agenten beim besten Willen nicht heimlich ihre Leitungen andocken.

Also machten sie die Konzerne zu Partnern: Heute gewähren Kommunikations- und Internet-Dienste den Spionen des britischen Nachrichtendienstes GCHQ und deren Kollegen vom US-Militärgeheimdienst NSA Zugang zu den Leitungen. Als Gegenleistung bieten die Spitzel „nützliche Daten“ , berichten Geheimdienstkenner der Nachrichtenagentur Bloomberg.

Damit ist raus, was nur wenige glauben wollten: Ziel von Spionageprojekten wie Tempora und Prism ist nicht bloß Terrorabwehr. Per Datenanalyse entschlüsseln sie auch die Geheimnisse der Wirtschaft.

Während die Politik viel Zeit mit moralischen Grundsatzdebatten verliert, fragen sich immer mehr Wirtschaftsvertreter: Welche strategisch wichtigen Unternehmen stehen im Visier der Spione? Und welche brisanten Daten sind schon abgeflossen?

Neuer Wirtschaftskrieg

Die Sorgen sind berechtigt. Die USA haben mehrfach von der NSA abgefangene Informationen gegen europäische Wettbewerber eingesetzt: In den Neunzigerjahren etwa hörte der Dienst Telefonate des französischen Rüstungskonzerns Thomson-CSF mit Brasilien ab. Denen zufolge bestachen die Franzosen Regierungsmitglieder, um einen Satellitenauftrag an Land zu ziehen. Amerika machte dies publik, das Geschäft erhielt US-Konkurrent Raytheon. Ähnlich erging es Airbus etwa zur selben Zeit bei einem Auftrag in Saudi-Arabien.

Längst hat Großbritannien eingeräumt, bei Spionage gehe es neben Sicherheit auch um nationale Prosperität. In Frankreich gibt es sogar eine Schule für Wirtschaftsspionage (siehe Seite 62). „Geheimdienste wollen sich und der heimischen Industrie einen Informationsvorsprung verschaffen“ , sagt Bernd Oliver Bühler, Mitgründer der Sicherheitsberatung Janus Consulting. „Wir stecken mitten in einem Wirtschaftskrieg.“

Und Bühler glaubt, dass dieser Wirtschaftskrieg eine neue Qualität erreichen wird. Nie war die Welt so vernetzt wie heute. Nie war es so billig, Datenmassen zu speichern. Und nie waren die Technologien besser, diese Massen zu analysieren. Das Konzept heißt Big Data Analysis und ist in der Unternehmenssteuerung längst etabliert. Nun wird es auch zum Werkzeug im Wettstreit der globalen Wirtschaftsräume.

Deren Agenten können aus den Datenmassen sensibelste Details herauslesen - selbst wenn die einzelnen Fakten nicht einmal explizit genannt werden. So verraten Bewegungsprofile von Handynutzern nicht nur, wo Menschen sich aufhalten. Sie ermöglichen auch Rückschlüsse darauf, wie viel diese verdienen, wie erfolgreich sie im Job sind und wie stabil ihr Privatleben ist.

Big-Data-Experten sind überzeugt, dass US-Sicherheitsbehörden die Techniken auch einsetzen, um Bedrohungen durch potenzielle Attentäter zu erkennen, noch bevor die Akteure ihre Pläne konkretisieren. Das Prinzip ist immer gleich: Algorithmen analysieren selbst belanglose Datenschnipsel, um auf künftige Handlungen von Personen zu schließen. In 30 US-Gefängnissen errechnen Algorithmen, wie wahrscheinlich einzelne Häftlinge nach der Entlassung in Schießereien verwickelt sein werden (siehe Interview Seite 64).

Und nicht bloß das. Kaum ein Experte zweifelt, dass die Datenanalyse immer öfter auch gegen Unternehmen angewendet wird, um Geheimnisse zu erfahren. In wenigen Stunden können Spione mit modernen Big-Data-Techniken ausspähen, wofür sie noch vor einer Dekade Wanzen und Minikameras installieren mussten.

Industrie ist alarmiert

Lange hat die Industrie die Gefahren verdrängt, jetzt ist das Erschrecken groß. Thomas Lindner, Präsident beim Verband Deutscher Maschinen- und Anlagenbau (VDMA), beobachtet „im Süden und Westen Deutschlands eine wachsende Zahl von Spionagefällen“ , dort wo viele Champions der deutschen Wirtschaft sitzen. Das bedrohe alle Kernbereiche der Industrie.

Studien bestätigen das: Jedes fünfte deutsche Unternehmen, so eine repräsentativen Erhebung der Münchner Unternehmensberatung Corporate Trust ,wurde in den vergangenen drei Jahren Opfer eines Spionageangriffs. Der dadurch entstandene Schaden stieg auf 4,2 Milliarden Euro - 50 Prozent über dem Wert von 2007. Und die Studie untersucht nur konkrete Einbrüche. Welchen künftigen Schaden Algorithmen verursachen, die sich durch die nun von amerikanischen und britischen Geheimdiensten gesammelten Daten wühlen, vermag noch niemand verlässlich abzuschätzen.

Und von den Betroffenen will niemand offen reden. Wenn überhaupt, berichten Insider anonym. Wie der IT-Chef eines börsennotierten Maschinenbauers aus Hessen: In den vergangenen Monaten bemerkte das Unternehmen immer wieder, dass ein US-Wettbewerber an ähnlichen Innovationen arbeitete. Zufall? Eher nicht. Es ging um sehr ausgefallene Ideen. Der IT-Chef engagierte ein Sicherheitsunternehmen, ließ Vorstandsbüros und Konferenzräume auf Abhörgeräte untersuchen. Fehlanzeige. „Vermutlich sind unsere Daten im Internet abgefangen und ausgewertet worden“ , sagt der IT-Verantwortliche.

Vor wenigen Tagen beschloss der Vorstand des Maschinenbauers daher: Ab sofort wird das Unternehmen weder Konstruktionszeichnungen noch Patentanmeldungen übers Netz verschicken. Sensible Daten werden künftig auf Datenträgern gespeichert und per Post verschickt.

Die Angst vor Spionage führt auch zu einer Renaissance analoger Techniken.

Für viele Unternehmen sind solche Überlegungen Neuland - für die Bundesregierung sowieso, wie Kanzlerin Angela Merkel unlängst feststellte. Immerhin ranzte sie US-Präsident Barack Obama bei dessen Besuch in Berlin an: Es sei kein „Fair Trade“ , wenn er schon wisse, was sie sagen werde, weil sie abgehört sei. Recht unverblümt stellte sie als Erste die gerade diskutierte transatlantische Freihandelszone infrage.

Armeen aus Internet-Spionen

Dabei dürfte die Entwicklung die Deutschen eigentlich nicht überraschen. Seit Jahren bauen andere Staaten Armeen aus internetaffinen Spionen auf. Am weitesten sind die USA. Abertausende Computerexperten, Hacker in Uniform und Informatik-Ingenieure arbeiten unter NSA-Direktor Keith Alexander. Gerade hat das Pentagon 4,7 Milliarden Dollar für Cyberspace-Aktivitäten gefordert - und wird sie, trotz aller Sparvorgaben, wohl auch bekommen. „Was immer Keith will, bekommt er auch“ , zitiert das US-Technikmagazin „Wired“ einen früheren hochrangigen CIA-Manager.

Nun rächt sich, dass das Thema IT-Sicherheit in Politik und Unternehmen lange vor allem als Betätigungsfeld für Bedenkenträger galt, „mehr belächelt als geschätzt - und vor allem als Kostentreiber verschrien“ , sagt Holger Mühlbauer vom Branchenverband für IT-Sicherheit Teletrust in Berlin.

Unter dem Druck der jüngsten Enthüllungen, könnte sich das ändern: „Es gibt eine ziemlich gravierende Schutzlücke bei der Spionageabwehr“ , sagt Thomas Oppermann, Vorsitzender des parlamentarischen Kontrollgremiums für die Geheimdienste am vergangenen Mittwoch. „Offenkundig war kein Gefahrenbewusstsein da.“ VDMA-Chef Lindner moniert denn auch, die Unternehmen fühlen sich vom Staat nicht ausreichend unterstützt.

Wobei sich viele deutsche Politiker, Unternehmer und Privatnutzer in erstaunlicher Naivität übten: Lange kümmerte die Verantwortlichen wenig, welche Angriffsmöglichkeiten die Cyber-Späher und Spionagealgorithmen haben.

Einfallstor Nummer eins sind die IT-Systeme. „Bei rund 50 Prozent der Unternehmen über 1000 Mitarbeiter sind IT-Systeme mit Schädlingen verseucht“ , sagt Matthias Rosche vom Sicherheitsdienstleister Integralis. Mitunter hätten die IT-Verantwortlichen - ohne es zu merken - komplett die Kontrolle über ihre Systeme verloren. Erst kürzlich stießen Rosches Analytiker bei einem Automobilzulieferer im zentralen Server auf eine Software, die sämtliche Druckaufträge des Unternehmens kopierte und an eine externe Adresse schickte. Der Spion blieb monatelang unentdeckt - und ist nur eine von unzähligen Angriffsoptionen.

Besonders oft fangen die Cyber-Spione den Sprach- und Datenverkehr direkt in Mobilfunknetzen oder Datenkabeln ab. Daten, die unverschlüsselt durch die Leitungen gehen, sind für die Big-Data-Algorithmen einsehbar wie Postkarten für den Briefträger. Zweites bevorzugtes Ziel sind die Server, auf denen Unternehmen ihre Geschäftsgeheimnisse ablegen. Schon aus mangelhaft gesicherten internen Datenspeichern fließt viel Firmenwissen ab.

Erst recht spielt der Trend zum Speichern und Verarbeiten von Daten auf Speichern im Internet, das sogenannte Cloud Computing, den elektronischen Spionen in den Lauf. Vor allem, wenn die Daten unverschlüsselt im Netz liegen, die Rechenzentren in den USA liegen oder von US-Unternehmen betrieben werden. Viele der Online-Riesen kooperieren - wie die Enthüllungen des Ex-Geheimdienstlers Edward Snowden zeigen - mit den US-Behörden.

Und selbst europäische Konzerne, die - wie die Deutsche Telekom oder Vodafone - Unternehmen in den USA zugekauft haben, mussten die Expansion mit dem Zugeständnis bezahlen, mit US-Behörden zu kooperieren. Man habe sich im Falle der US-Aktivitäten „als amerikanisches Unternehmen selbstverständlich an die Vorgaben der maßgeblichen Rechtsordnung“ zu halten, heißt es aus der Telekom-Zentrale.

Ähnlich ergiebig wie der Zugriff auf Server, sind die oft ungeschützten Kommunikationswege wie Chats, soziale Netzwerke und unverschlüsselte E-Mails. Wer sie nutzt, kommuniziert praktisch öffentlich vor den Spionen und Algorithmen. Und schließlich warnen Sicherheitsberater vor Risiken, die von Betriebssystemen wie Windows, MacOS, aber auch Android und dem iPhone-System iOS ausgehen: Sie lassen sich kaum schützen, weil nicht klar ist, ob und welche Hintertüren Microsoft, Apple und Google im Auftrag der US-Geheimdienste eingebaut haben.

Die Verantwortlichen des Chemiekonzerns Lanxess haben aus dem Bedrohungspotenzial Konsequenzen gezogen: Das Unternehmen verzichtet auf US-Schutzsoftware. Der Neubau der Konzernzentrale in Köln wurde abhörsicher geplant.

Eine gute Investition. Denn bislang bleiben ausspionierte deutsche Firmen zumeist auf ihren Schäden sitzen. Klassische Industrieversicherungen zahlen nicht.

„ Während in Amerika ein Viertel aller Unternehmen eine Cyber Risk Police abgeschlossen hat, sind es in Deutschland noch unter einem Prozent“ , sagt Marc Heitmann, vom Versicherungsmakler Marsh. Bemerkenswert: Bisher stammen Versicherungen gegen US-Spione ausschließlich von amerikanischen Unternehmen. Immerhin hat nun die Allianz das Potenzial erkannt. Diese Woche kommt sie mit einem neuen Produkt auf den Markt.

Wer ist Täter, wer ist Opfer?

Aber sind wir Deutschen tatsächlich nur Opfer? Haben unsere Politiker von alledem nichts gewusst, wie sie sagen? Oder war die Reaktion der Bundesregierung auch deshalb so verhalten, weil unsere Geheimdienste ähnlich aktiv sind?

Tatsächlich sind die Deutschen nicht ganz so untätig, wie die Entrüstung von Kanzlerin und Ministerialen glauben machen sollte. Mehr nebenbei kam ans Licht, dass am weltgrößten Netzaustauschknoten, dem De-Cix in Frankfurt, ein Teil der Daten „für den Bundesnachrichtendienst und andere Bedarfsträger“ abgezapft wird, wie das IT-Magazin „Heise Online“ unter Berufung auf Justizministerin Sabine Leutheusser-Schnarrenberger berichtet.

Im Rahmen strategischer Aufklärung werde durchschnittlich auf rund fünf Prozent des Datenverkehrs zugegriffen. Gemessen an den Programmen, wie sie NSA und befreundete Geheimdienste betreiben, sind das zwar virtuelle Peanuts. Doch der Fakt ist Anlass genug zur Frage, wie sich die Bundesrepublik denn im globalen Wettstreit um Wissen aufstellen müsste.

Für Teletrust-Chef Mühlbauer gibt es dazu nur zwei Antworten: Entweder habe man in Berlin seit Jahren von der Spionage gewusst und dennoch verpennt, eine Abwehrstrategie zu entwickeln. Oder die Verantwortlichen für Cyber-Sicherheit hätten tatsächlich nichts geahnt. Beides ist beunruhigend.

Die USA hingegen sammeln seit Jahren die besten Köpfe der Branche. Kaum bekannt ist, wie eng US-Technologiebranche, Spitzenunis und Militär verflochten sind. Dabei investiert das Militär auch gezielt in Startups, vor allem in Experten für Cloud Computing oder die massenhafte Datenanalyse. Das zeigt, wie wichtig Big Data für die Spionage geworden ist.

Ein wichtiger Spieler ist das Unternehmen Paladin Capital aus Washington, das rund eine Milliarde Dollar in IT-Startups steckt. Chef des Verwaltungsrates ist der ehemalige CIA-Chef James Woolsey, einer der Geschäftsführer der Ex-NSA-Chef Kenneth Minihan. Ein erlesener Kreis aus Ex-Spionen und Militär-Insidern.

Globale Wertschöpfungskette

Diese Verflechtung wird zu einer Selbstverständlichkeit für die großen Weltmächte. Auch die Chinesen klinken sich in die weltweite Datenabschöpfungskette ein: mit Vermittlungstechnik für Mobilfunk- und Festnetze. Der Netzausrüster Huawei etwa gilt in Sicherheitskreisen als verlängerter Arm chinesischer Geheimdienste.

Firmengründer Ren Zhengfei, Ex-Offizier der Nationalen Befreiungsarmee, hat es mit staatlichen Milliarden geschafft, in die Front europäischer Netzausrüster wie Ericsson, Nokia Siemens Networks und Alcatel Lucent einzubrechen. Damit hat China ein mächtiges Spionageinstrument. Immerhin verfügt die Übertragungstechnik über Wartungszugänge, damit Techniker von der Firmenzentrale in Shenzhen aus Netze fernsteuern können. Aber eben auch über Hintertüren Datenströme anzapfen.

Ähnlich enge Verbindungen pflegen auch russische Geheimdienste zu Internet-Unternehmen. Kürzlich warnte Reinhard Vesper, Leiter des Referats Spionageabwehr im NRW-Innenministerium, indirekt vor dem Einsatz von Virenschutzsoftware aus dem Hause Kaspersky: Firmengründer Jewgenij Kaspersky, sagte Vesper, „absolvierte eine Ausbildung am Institut für Kryptografie, Kommunikation und Informationswesen des KGB“ . Was Vesper andeutete: Auch über Virenschutzprogramme könnten Spionageprogramme auf den vermeintlich gesicherten PCs installiert werden - ohne dass der Nutzer davon etwas mitbekommt.

Eigentlich müsste das ein Vertriebsvorteil für deutsche Sicherheitstechnikhersteller sein. Immerhin sichert etwa Secunet aus Essen die Datennetze der Bundesregierung. Fast 80 Prozent des Umsatzes von 67 Millionen Euro machen die Essener mit Behörden und Regierungsstellen. Doch so recht brummt das Geschäft mit hochsicheren Produkten weder bei Secunet noch beim Firewall-Anbieter Genua oder dem Netzwerkausrüster Lancom Systems.

Viele Unternehmen scheuen schlicht den Aufwand zusätzlicher Sicherungen und deren Kosten. Zwar sei „das Interesse der Industrie durch die jüngsten Enthüllungen gestiegen“ , sagt Secunet-Chef Rainer Baumgart. Doch insgesamt ist das Interesse der Regierung zu gering, das Feld zu entwickeln und die Nachfrage der Industrie nach deutschen Sicherheitsprodukten zu schwach.

So wächst die Forderung nach einem Risikokapital- und Entwicklungsfonds nach US-Vor bild. „Staatliches Venture-Kapital für IT-Sicherheitsunternehmen“ , sagt Teletrust-Geschäftsführer Mühlbauer, „so etwas brauchen wir viel stärker auch in Deutschland.“ Sicherheitspolitiker Oppermann forderte vergangenen Mittwoch immerhin schon mal staatliche Forschungsförderung.

Aber gibt es überhaupt 100-prozentigen Schutz? Oder müssen Unternehmen akzeptieren, künftig immer öfter Firmengeheimnisse im Produktkatalog von Wettbewerbern zu finden?

Die Antwort ist, totalen Schutz kann niemand garantieren. Doch die Schutzwälle lassen sich so hoch ziehen, dass sie kaum noch zu überwinden sind. Zum Beispiel indem Arbeitsplätze in sensiblen Bereichen wie Forschungsabteilungen nicht mit dem Internet verbunden sind, wie Verfassungsschutzpräsident Hans-Georg Maaßen kürzlich im WirtschaftsWoche-Interview empfahl (Heft 26 2013). Und wer übers Internet kommuniziert, kann Daten so stark verschlüsseln wie der Bund beim Versand von Verschlusssachen zwischen Bonn und Berlin oder zwischen Auslandsbotschaften.

In der Trutzburg-ähnlichen Firmenzentrale des Nürnberger Technologiekonzerns Diehl geht die Absicherung inzwischen so weit, dass sensible Angebote wieder auf einer elektrischen Schreibmaschine ohne Internet-Verbindung getippt und nicht mehr übers Netz verschickt werden. Die Seiten gehen per Boten in einem verschließbaren Koffer persönlich zum potenziellen Käufer.

Ähnlich handhabt es der deutsche Biotech-Pionier Qiagen. Verhandeln Mitarbeiter über den Zukauf von Unternehmen oder mit einem neuen Investor, nutzt das Unternehmen speziell gesicherte, sogenannte virtuelle Datenräume, wie sie auch von Investmentbanken genutzt werden.

Mit Low Tech gegen Agenten

Sind Informationen noch heikler, greift auch Qiagen zur Low-Tech-Kommunikation: Im vorigen November etwa druckten Qiagen-Mitarbeiter den fast 40 000 Seiten starken US-Zulassungsantrag für einen Gentest fünf Mal aus, verluden den Papierberg auf eine Versandpalette und schickten sie per Flieger in die USA. Vom Qiagen-Standort im Bundesstaat Maryland gelangte die Fracht per Lkw zur amerikanischen Zulassungsbehörde FDA. Zumindest bis dahin hatten Datenspione also schlechte Karten.

Nach den Enthüllungen des Ex-Agenten Snowden werden viele Unternehmen diesem Beispiel folgen - folgen müssen.

Womit wir endlich zur Geschichte mit der schönen Frau kämen.

Die geht so: Ex-Agent Snowden und die 28 Jahre alte Tänzerin Lindsay Mills wollten heiraten. Jahrelang folgte sie ihm durch die Welt. In Hawaii schließlich schien alles bestens - bis Snowden, völlig überraschend, verschwand. Sie ist noch immer dort und bloggt über ihre Einsamkeit.

Snowden dagegen löste mit seinen Enthüllungen einen der größten Spionageskandale der Geschichte aus.

Co-Autoren: Sebastian Matthes, Thomas Kuhn, Max Haerder, Anke Henrich, Matthias Hohensee.