Die hidden champions aus dem deutschen Mittelstand - ohne ihre Spezialmaschinen, hochpräzise und extrem langlebig, geht in manchen Produktionszweigen nichts. Jedes dritte Parkett auf der Welt wird zum Beispiel mit einer Maschine eines deutschen Herstellers abgeschliffen. Diese Firma hatte einen Weg gefunden, auch abseits der Maschinen weiter Geld zu verdienen: Sie produzierte auch die Scheiben, in die das Sandpapier eingespannt wird - ein Teil, das nach einer gewissen Zeit wegen Verschleiß ersetzt werden muss. Ein wesentlicher Teil der Firmen-Einnahmen stammte aus dem Verkauf dieser Schleifscheiben.
Doch plötzlich gab es unerwartet Konkurrenz. Die nachgeahmten Scheiben, die in China produziert wurden, kamen zu erheblich niedrigeren Preisen auf den Markt, die Kunden ließen sich das natürlich nicht zweimal sagen, beim deutschen Hersteller brachen die Verkäufe in der Folge um 90 Prozent ein. Was war passiert? Industriespione hatten bei einem schlecht geschützten Kooperationspartner in Osteuropa die Konstruktionspläne erbeutet und konnten die lukrativen Verschleißteile einfach nachproduzieren.
Der Pakt sollte stutzig machen
In der Geschichte, die der Geschäftsführer der Münchner Firma für IT-Sicherheit Genua, Bernhard Schneck, erzählt, steckt im Kleinen ein ziemliches großes Problem. So groß, dass es Kanzlerin Angela Merkel bei ihrem Besuch in China weit oben auf der Agenda stehen hat. Die beiden Länder wollen eine Art No-Spy-Abkommen schließen, eine Verabredung, das gegenseitige Ausspähen zu unterlassen, wie sie die USA und Großbritannien bereits getroffen haben.
Dass sich China gar nicht lange wehrte gegen eine solche Abmachung, sollte aber vielleicht stutzig machen. Und auch, dass Chinas Premier Li Keqiang sagte, sein Land sei "gegen Cyber-Diebstahl und das Entwenden von Betriebsgeheimnissen", klingt zwar gut. Doch die Erfahrungen, die viele deutsche Firmen bereits gemacht haben - die Zahlen schwanken zwischen einem Fünftel und der Hälfte aller Unternehmen -, sprechen eine ganz andere Sprache.
"Die Chinesen haben einen klaren Plan, wo sie hinwollen", sagt Florian Oelmaier von Corporate Trust, einer Firma aus der Nähe von München, die sich mit der Abwehr von Industriespionage beschäftigt. "Es geht ihnen darum, die gesamte Produktionskette zu beherrschen, ohne bestimmte Maschinen können sie das aber nicht." Also würden sie mit verschiedenen Methoden versuchen, an die erforderlichen Informationen zu kommen. Die Firmen bekommen Übernahmeangebote aus China, werden förmlich überschwemmt mit Bewerbungen gut qualifizierter Ingenieure aus China, erhalten Besuch von Delegationen.
Und ein weiterer Weg ist es eben auch, die IT-Infrastruktur anzugreifen. Besonders verheerend sind sogenannte Golden-Ticket-Angriffe, sagt Oelmaier. Die Angreifer dringen dabei in das Firmennetz ein, etwa über eine E-Mail mit verseuchtem Anhang, und machen sich breit im Netz. "Das ist, also ob sie für jedes Haus in München den Schlüssel hätten und auch noch genauso aussehen würden wie der wirkliche Bewohner", erklärt Oelmaier.
Eigentlich hilft dagegen nur eines, nämlich das Netz komplett neu aufzusetzen - so wie das beim Computernetz des deutschen Bundestages auch gemacht wurde. Doch ein produzierender Betrieb kann nicht einfach für Wochen dichtmachen. Man muss daher damit leben, dass der Feind sozusagen im eigenen Haus sitzt. Die Sicherheitsexperten bauen dann im alten ein neues, abgesichertes Netz auf, in das Stück für die Stück die gesäuberten Rechner integriert werden.
Dann kann es aber schon zu spät sein, denn bis solche raffinierten und gezielten Angriffe entdeckt werden, vergehen oft Monate. Und auch der Nachweis ist im Nachhinein meist nicht leicht zu führen. Im Cyberspace ist schließlich kaum einer Spur wirklich zu trauen. Nahezu alles kann gefälscht werden.
Und auch wenn feststeht, dass ein Angriff tatsächlich von einem bestimmten Land aus gestartet wurde, muss das nichts heißen. Denn dieser Rechner kann genauso gut ferngesteuert worden sein, oft werden auch ganz gezielt falsche Spuren gelegt. Wenn es gesicherte Erkenntnisse gibt, stammen sie meist aus der Realwelt, zum Beispiel dann, wenn nachgewiesen werden kann, dass einem Insider Bestechungsgeld gezahlt wurde.
Angesichts der klaren Interessenlage auf einen Seite und der Komplexität des Themas IT-Sicherheit auf der anderen ist es nur konsequent, wenn auch ein gestandener IT-Sicherheitsanbieter wie Genua sagt: "Man kann sich nicht gegen jeden Angreifer schützen". Geschäftsführer Schneck rät daher auch, zuallererst eine Risikoanalyse zu erstellen: "Was kann mir im schlimmsten Fall passieren?" Das Problem ist nämlich: Je mehr Aufwand der Angreifer treibt, umso höher steigt auch der Aufwand, solche Angriffe abzuwehren.
Und - eine weitere umbequeme Wahrheit - werden die Sicherheitsstandards erhöht, geht dies meistens auf Kosten des Komforts. Das größte Problem, weiß Schneck aus Erfahrung, sind dabei oft die Firmenchefs, die auch von unterwegs auf Firmen-Informationen zugreifen wollen und damit nicht selten Sicherheitsprobleme schaffen. "Wer im Netz alles machen will, macht den Firewall durchlässig", sagt Schneck. "Da muss man abwägen zwischen Bequemlichkeit und Sicherheit."
Viele Mittelständler aber sind noch gar zu dieser Erkenntnis gelangt, sondern unterschätzen die Risiken durch Spionage. Nur gut die Hälfte von ihnen orientiert sich laut einer Studie der Berater von Pricewaterhouse Coopers von 2014 an Standards zur Informationssicherheit wie etwa ISO 27001. Viele lassen zu, dass Mitarbeiter private Geräte mitbringen und ins Firmennetz einklinken. Und nicht immer geht die Sache so glimpflich aus wie bei den Schleifmaschinen. Die nachproduzierten Scheiben waren von so schlechter Qualität, dass die Kunden bald wieder zu den Original-Teilen aus Deutschland griffen.