Der Angriff begann lautlos. Die Täter gingen höchst professionell vor: Mit Spear-Phishing-Mails, also gezielt auf einzelne Personen zugeschnittene Post, an die Adresse von Mitarbeitern eines Stahlwerks verschafften sie sich Zugang zu wichtigen Rechnern. Der Rest war ein Kinderspiel. Über einen infizierten PC drangen die Täter immer tiefer ins Firmennetz ein, bis der Zugriff auf die Steuerung des ganzen Stahlwerks gelang. Folge des Cyberangriffs auf ein deutsches Unternehmen: Eine Firma außer Kontrolle und ein beschädigter Hochofen.
Es sind längst nicht mehr nur spektakuläre Angriffe wie der Cyberschlag gegen den Filmhersteller Sony oder der Hackerangriff auf Regierungswebseiten der vergangenen Woche, der deutsche Behörden beunruhigt. Sicherheitsexperten sind angesichts rasant steigender Zahlen von Angriffen selbst auf mittelständische Firmen alarmiert. Deutschland sei wegen seiner starken Stellung in Wirtschaft und Forschung "ein bevorzugtes Angriffsziel" geworden, warnt Catrin Rieband, die ständige Vertreterin des Präsidenten des Bundesamtes für Verfassungsschutz, am Mittwoch in Berlin. "Es vergeht kein Tag, an dem wir nicht von neuen Cyberattacken hören." Deutsche Politik, Unternehmen und Wissenschaft rückten immer häufiger ins Visier ausländischer Dienste und Hacker.
Die Folgen gezielter Angriffe sind immens. Der geschätzte Schaden liege allein in Deutschland bei etwa 50 Milliarden Euro im Jahr, sagt Rieband. Egal ob Strategien, Forschungsergebnisse oder Innovationen, abgeschöpftes Know-how kann schnell ganze Branchen in Probleme stürzen. Und gerade einer Volkswirtschaft wie Deutschland, die als einzigen Rohstoff auf dem Weltmarkt Wissen anbieten kann, schweren Schaden zufügen.
An einem einzigen Tag tauchen 300 000 neue Schadprogramme auf
Sicherheitsbehörden fordern deshalb eine schnelle Reaktion der Wirtschaft. Sie müsse in der Informationstechnik ihre Anstrengungen für die Cybersicherheit deutlich verstärken, sagt Michael Hange, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). "Trotz erheblicher Bedrohungen gibt es eine digitale Sorglosigkeit", klagt Hange auf dem Berliner Forum zur Cybersicherheit. 50 000 Steuerungssysteme deutscher Unternehmen seien direkt ans Internet angeschlossen, aber nur unzureichend geschützt. So seien gerade mal sechs Prozent der deutschen E-Mails verschlüsselt.
Dabei rüsten die Angreifer, die laut Verfassungsschutz in schier unglaublichem Tempo auf. Schätzungen zufolge sind weltweit etwa eine Milliarde Schadprogramme im Umlauf. Täglich kommen laut BSI 300 000 hinzu. In Deutschland seien dadurch inzwischen eine Million PCs Bestandteil sogenannter Bot-Netze, die von Kriminellen oder ausländischen Diensten für ihre Zwecke genutzt werden könnten - ohne, dass Besitzer das wüssten. Viele Attacken kämen aus Russland oder China.
So griff etwa die Hackergruppe Dragonfly mit dem Schadprogramm Havex aus Osteuropa industrielle Anlagen in Europa und den USA an und spionierte Unternehmen aus. Ein deutscher Gasnetzbetreiber verzeichnete "Anomalien im Datenstrom". IT-Experten fürchten, dass Angreifer noch weiter gehen und die Wasserzufuhr oder Stromnetze lahmlegen könnten. Kritische Infrastruktur gehöre zu den möglichen Angriffszielen, heißt es beim Verfassungsschutz.
Vorsichtsmaßnahmen wie aus dem Spionage-Thriller
Wenigstens in den Zentralen großer Konzerne hat hinter den Kulissen ein Umdenken eingesetzt. Viele akute Vorsichtsmaßnahmen deutscher Firmen lesen sich bereits wie ein Spionage-Thriller: Dax-Konzerne lassen sich abhörsichere Konferenzräume bauen. Spitzenmanager reisen mit Koffern, die problemlos als James-Bond-Requisite durchgehen - um etwa Laptops abhörsicher zu verstauen. Oder sie telefonieren mit Krypto-Zubehör in Geheimcodes über ihre iPhones - für Außenstehende kaum zu bemerken.
Am weitesten geht hierzulande der Luftfahrtkonzern Airbus mit gut 140 000 Mitarbeitern und 60 Milliarden Euro Jahresumsatz. Bis zu 70 Millionen Euro im Jahr steckt die Airbus-Gruppe - früher EADS - jedes Jahr in den Schutz vor Angriffen, sagt Guus Dekkers, IT-Chef des Konzerns. Ein Cyberzentrum mit riesigen Bildschirmen überwacht rund um die Uhr die IT der Firma, sperrt riskante Webseiten automatisch und löst Alarm aus, wenn Mitarbeiter von fremden Computern E-Mails abrufen. Das Ziel: sensible Informationen über Flugzeuge, Satelliten und Raketen zu schützen. Zu viele Merkwürdigkeiten - etwa bekannt gewordene Angebote - hat der Konzern schon erlebt. Doch Dekkers weiß auch: "Vielen Mitarbeitern gefällt das nicht. Sie fühlen sich gegängelt."
Doch die Bundesregierung will dafür sorgen, dass bald in mehr Firmen solche Schutzwälle entstehen. Mit dem gerade vom Kabinett als Entwurf abgesegneten IT-Sicherheitsgesetz soll vor allem die kritische Infrastruktur in Deutschland besser geschützt werden - dazu zählen etwa die Energie-, Finanz-, Transportbranche oder das Gesundheitswesen. Einige Branchen seien schon gut aufgestellt, andere nicht, sagt Ole Schröder, Parlamentarischer Staatssekretär im für die IT-Sicherheit zuständigen Bundesinnenministerium. "Wir dürfen uns nicht viel Zeit lassen."
Nur: Wie genau soll sich die deutsche Wirtschaft eigentlich besser schützen? Software kommt zu 90 Prozent aus den USA. Und die gelten seit der Snowden-Affäre eher als Teil des Problems - nicht der Lösung. Berlin hofft auf eigenes Know-how. Deutsche Firmen dürften nicht nur die verlängerte Werkbank globaler IT-Industrie sein und müssten selbst kreativ werden, sagt Schröder. Es müsse darum gehen, eigenes Know-how aufzubauen - und zu halten. Den möglichen Verkauf von Firmen mit benötigtem Wissen werde man "kritisch begleiten", kündigt Schröder an.
In der Industrie schwant vielen, dass mit dem Vorstoß ein jahrelanger Kampf beginnt. Airbus-Manager Deckers ist sich längst sicher: "Das ist eine Reise, die kein Ende haben wird."