2005 standen bei Daimler die Bänder von 13 US-Werken still. 50 000 Arbeiter mussten eine 50-minütige Zwangspause einlegen – ausgelöst durch den Computerwurm Zotob. Er war über eine Schwachstelle der Scada-Steuerung in die Produktion eingedrungen und hatte durch den Produktionsausfall einen geschätzten Schaden von rund einer Million US-Dollar verursacht – plus 100 000 Dollar für das Entwurmen der Systeme. Die Daimler-Verantwortlichen hatten offensichtlich nicht schnell genug reagiert: Fünf Tage vor dem Angriff war die Schwachstelle publik geworden. In so einem Fall muss die IT-Abteilung sofort handeln. Einer Studie von IBM zu Folge werden 94 Prozent der Angriffe auf eine neue entdeckte Schwachstelle innerhalb der ersten 24 Stunden gestartet. Das ist die Kehrseite der vernetzten Welt.
Die Kombinationsmöglichkeiten aus Angreifern, Angegriffenen, Angriffsmitteln und -wegen sind hier endlos: Geheimdienste, Mafiosi, Industriespione, Terroristen – oder auch Cyber-Söldner – klauen analoge Daten auf Papier und digitale Informationen auf elektronischen Speichern, physikalisch (per Einbruchdiebstahl) oder übers Internet. Mal mit, mal ohne Unterstützung von „Innentätern“ – bei Behörden und Unternehmen. Das Ziel ist nicht nur Spionage, sondern eben auch Sabotage.
Freund hört immer mit
Datenspionage ist kein Phänomen des dritten Jahrtausends: „Wer immer zwischen Nordsee und Alpen zum Telephonhörer greift, muß gewärtig sein, daß auch die NSA in der Verbindung ist – Freund hört mit“ notierte Der Spiegel im Februar 1989. „Jeder Piepser“ werde abgehört. Ira Hunt, Technischer Direktor bei der CIA, bekannte wenige Monate, bevor Edward Snowden den Geheimdienstskandal lostrat: „Der Wert einer Information ist nur dann bekannt, wenn Du sie verbinden kannst mit etwas anderem, das zu einem zukünftigen Zeitpunkt aufläuft. Da Du Informationen nicht verknüpfen kannst, die Du nicht hast, sammeln wir einfach alles, was wir sammeln können und behalten es für immer.“
Es drohen unruhige Zeiten, wenn Unternehmen ihre Systeme nicht wasserdicht machen: Die Software Bonesaw kennt jedes Endgerät im Internet – samt seiner Löcher. Mit Hilfe von Turbine kann jeder Interessierte diese Geräte infizieren. Die Geheimdienste der Industriestaaten nutzen solche Tools für die Wirtschaftsspionage. Aber auch Unternehmen ist der Zugang nicht verwehrt. Wer Turbine nicht kennt, kann das Wissen über die Löcher im digitalen Orkus kaufen, zu Preisen bis 250 000 US-Dollar. Die Beute aus dem einen Raubzug lässt sich kombinieren mit der aus beliebig vielen anderen – und kann am Ende sogar als Waffe gegen den Bestohlen selbst gerichtet werden.
So spannte das US-Unternehmen Kenetech vor 20 Jahren die NSA ein, um Zugang zum Wissen des Deutschen Windanlagenbauers Enercon zu erhalten. Das Wissen soll in den USA zum Patent angemeldet worden sein – und Enercon war der US-Markt verwehrt. Angeblicher Schaden: Umgerechnet 100 Millionen Euro.
Konkurrenz-Kampf
Wer den Abstand zwischen dem eigenen Unternehmen und dem Wettbewerber reduzieren möchte, kann diesem Wettbewerber auch ein klein wenig Sand ins Getriebe streuen – und das muss noch nicht einmal auffallen: So lassen sich computergesteuerte Maschinen, Lagerbestände, Lohntabellen und Kundendatenbanken manipulieren; in Zeiten von Industrie 4.0 womöglich auch jede Schraube. Der Vorteil: Es führen keine Spuren zum Nutznießer. Und wer sich selbst die Finger nicht schmutzig machen möchte, kann auf eine Fülle hilfsbereiter Dienstleister vertrauen. So wirbt ein Anbieter für seine Dienste: „Sie suchen einen professionellen Hacker? Sie suchen einen Hacker, um an persönliche, politische oder an die Daten von Unternehmen zu kommen? Wenn Sie die ernsthafte Absicht haben, ihr Ziel zu knacken, sprechen Sie uns an!“
Das Infosecurity-Institute weist allerdings darauf hin, dass die Liste krimineller Angebote nicht auf das Knacken von Webseiten und Passwörtern beschränkt ist. „Das ist mittlerweile Daniel-Düsentrieb Ökonomie“, schrieb Professor François-Bernard Huyghe von der Pariser Hochschule für den Wirtschaftskrieg bereits 2001: „Im Wirtschaftskrieg bedeutet Konkurrenz alltäglichen Konflikt. Sabotage und Spionage, Vergiftung, Destabilisierung oder Manipulation sind alltäglich geworden.“
Innenminister Thomas de Maiziere verlangt jetzt: „Wer durch den IT-Einsatz Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken.“ Deshalb sollen sich Betreiber kritischer Infrastrukturen – aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – künftig die Sicherheit ihrer Prozesse zertifizieren lassen und etwaige Vorfälle melden.
Der Haken: US-Behörden knacken nicht nur die Verschlüsselung in allerlei Branchen – sie klagen auch gegen IT-Unternehmen, beispielsweise aktuell gegen Microsoft, um Daten zu erhalten, die in Europa gespeichert sind. Wenn die Cloud aber technisch und rechtlich löchrig wie ein Schweizer Käse ist, könnte das geläufige Akronym SaaS (für Software as a Service) künftig aufgelöst werden als Sabotage as a Service.