Zwischen Prävention und Spionageabwehr bewegt sich der Fachbereich Wirtschaftsschutz des Verfassungsschutzes Niedersachsen, welcher im Niedersächsischen Ministerium für Inneres und Sport angesiedelt ist. In dieser Folge unseres Podcasts geht es um den Schutz der Wirtschaft vor Cyberangriffen und Spionage.

Wie kann ich mich und mein Unternehmen vor Spionage und Angriffen von außen schützen? Warum und wie sollten sich auch Startups schützen? Gibt es Hilfe auf dem Weg? Zu all diesen Fragen hat die Digitalagentur Niedersachsen das Ministerium für Inneres und Sport in diesem Podcast interviewt. Zu Gast waren Markus Böger und Jörg Peine-Paulsen aus der Abteilung 5 – Verfassungsschutz mit dem Fachbereich Wirtschaftsschutz.

Der Podcast wird moderiert von Christian Wagener, Themenmanager für Digitale Produktion und Industrie 4.0 bei der Digitalagentur Niedersachsen.

Hier können Sie den Podcast anhören:

Christian Wagener (Digitalagentur Niedersachsen): Herzlich Willkommen zu einer neuen Folge des Podcasts der Digitalagentur Niedersachsen. Wir sprechen heute mit dem Wirtschaftsschutz des Landes Niedersachsen darüber, wie Kriminelle Unternehmen ausspionieren und aus gewonnen Informationen auch Profit schlagen, denn auch Kriminelle haben ihr Tätigkeitsfeld längst in die digitale Welt verlegt. Mein Name ist Christian Wagener und ich habe dafür heute Jörg Peine Paulsen und Markus Böger vom niedersächsischen Ministerium für Inneres und Sport, Abteilung 5 – Verfassungsschut, Fachbereich Wirtschaftsschutz bei mir zu Gast, um über die Krimis des Internets zu sprechen. Hallo an Euch beide.

Markus Böger: Hallo.

Jörg Peine-Paulsen: Hallo, Christian.

Unternehmen arbeiten immer digitaler. Es wird gefördert und gefordert und im Prinzip macht sich die gesamte Gesellschaft auf den Weg, die Wirtschaft zieht mit. Die Krise zeigt jetzt, dass das Potenzial von einzelnen Digitallösungen wie unter einem Brennglas, also man sieht das in der Diskussion um Home Office, die sich jetzt sehr stark umsponnen haben. Wir haben vorher nochmal darüber gesprochen, dass sich jetzt alles in Home Office verlagert, aber das ist nicht das einzige, was die Unternehmen in Niedersachsen umtreibt, sondern natürlich betrifft das auch so etwas wie die Wertschöpfung. Ich habe in der letzten Folge des Podcasts mit Tobias Heinen von der Firma GREAN gesprochen – genau darüber, dass das eben nicht nur die Büroarbeiter betrifft, sondern auch die Wertschöpfung selbst. Es gibt viel mehr Automatisierung, viel mehr Digitalisierung in der Produktion und jetzt geht es eben darum wie schützen wir das Ganze. Es geht um den Schutz der Wirtschaft und da kommt Ihr ins Spiel. Was macht der Wirtschaftsschutz?

Böger: Wenn man die Frage stellt was der Wirtschaftsschutz macht muss man ein Stück weiter zurückgehen und sich fragen wo kommen wir überhaupt her. Was haben wir für einen Background und was ist letztendlich unser Auftrag. Darüber kommt man dann zu dem was wir eigentlich machen. Der Wirtschaftsschutz ist Teil des Innenministeriums und dort Teil des Verfassungsschutzes. Diesen Bereich gibt es dort ungefähr seit 20 Jahren. Das ist im digitalen Zeitalter gesprochen eine halbe Ewigkeit, aber im Endeffekt sind 20 Jahre jetzt nicht so wahnsinnig viel, weil es die Wirtschaft schon viel länger gibt und auch Kriminalität gibt es viel länger als letztendlich 20 Jahre. Wenn ich sage wir sind Teil des Verfassungsschutzes – Teil des Verfassungsschutzes ist auch die Spionageabwehr, sprich Angriffe Nachrichtendienste, fremder Geheimdienste aufzuklären und zu verhindern und speziell im Bereich Wirtschaftsschutz ist eben unsere Aufgabe solche Angriffe zu detektieren und zu verhindern, wenn sie auf die Wirtschaft abzielen, sprich Wirtschaftsspionage zu verhindern. Unsere Aufgabe ist es solche Angriffe zu erkennen, solche Angriffsstrukturen zu erkennen und Verdachtspunkte von Wirtschaftsspionage letztendlich aufzudecken. Das ist im Prinzip das Kernmoment was wir machen, diese Information an die Wirtschaftsunternehmen weiterzugeben, damit sie im besten Fall gar nicht betroffen sind von so etwas.

Also Prävention an der Stelle auch.

Böger: Ja, also 90 bis 95 Prozent von dem, was wir machen, ist Prävention. Also der beste Wirtschaftsschutz liegt dann vor, wenn kein Wirtschaftsunternehmen von irgendeinem Sicherheitsvorfall betroffen ist. Dann haben wir letztendlich gut gearbeitet und das Wirtschaftsunternehmen auch Wir sind gerne Ansprechpartner im Nachhinein, wenn wirklich das Kind in den Brunnen gefallen ist, wenn irgendwelche Angriffe vorliegen, stehen wir parat und als Ansprechpartner zur Verfügung. Uns liegt viel daran im Vorfeld zu schützen, dass quasi erstmal nichts passiert.

Paulsen: Und der Werkzeugkasten, den wir haben, da werden wir sicherlich gleich darüber sprechen,  hilft gegen mehr als nur Spionage, weil Sabotage in dem Bereich letztlich auch sehr unangenehm ist. Wenn wir uns vorstellen, dass irgendein Unternehmen, das sehr wichtig ist zur Versorgung der Bevölkerung durch Wasser oder Energie, davon abhalten wird das zu tun, was sie sollen, dann geht es uns allen schlecht und auch das ist Wirtschaftsschutz. Es ist Spionage- und Sabotageabwehr und das Ganze präventiv und ich denke da werden wir noch ein bisschen weiter reingucken.

Definitiv. Aber mich würde trotzdem nochmal gerne interessieren wie es bei den Zahlten aussieht. Du hattest gerade schon gesagt: „Wenn es keine Fälle gibt, dann haben wir gut gearbeitet“. Jetzt gibt es natürlich ein paar Fälle. Das lässt sich natürlich nie ganz vermeiden. Gibt es denn Zahlen dazu wie viele Unternehmen im Jahr Opfer von einem Angriff werden bzw. wo man dann auch durchkommt durch die ganzen Schutzbarrieren?

Böger: Also wir selber erheben da keine Zahlen, weil man da sehr vorsichtig sein muss. Du hast es selber schon wiederholt. Je besser die Prävention, desto weniger passiert und man kann in Zahlen nicht ausdrücken wie gut die Prävention gewesen ist. Das funktioniert letztendlich einfach nicht. Darüber hinaus gibt es ein wahnsinnig großes Dunkelfeld. Wir reden da sogar von einem doppelten Dunkelfeld. Einerseits Taten, die da sind, die geschehen, die aber keiner staatlichen Stelle, ob jetzt wir oder Polizei oder irgendwem anderes gemeldet werden. Darüber hinaus ist es gerade im digitalen Bereich ein doppeltes Dunkelfeld. Also Taten, die geschehen und die betroffenen Unternehmen auch gar nicht mitkriegen. Also wenn der Bildschirm plötzlich schwarz ist, kriegt das jeder mit, aber wenn nur irgendwelche Informationen abhandenkommen, kriege ich das vielleicht gar nicht mit, wenn ich von einem viel hochwertigeren Angriff betroffen bin.

Paulsen: Also die besten Zahlen, die wir haben, sind gerade herausgekommen. Das ist eine Studie vom Kriminologischen Forschungsinstitut Niedersachsen, in der wir Kooperationspartner mit vielen anderen zusammen waren bei der Studie. Das ist der Forschungsbericht Nr. 152 Cyberangriffe gegen Unternehmen in Deutschland. Da sind aus unserer Sicht das erste Mal Zahlen drin, mit denen man etwas anfangen kann. Dort steht aber nicht drin so und so viele Unternehmen in Niedersachsen haben das und das erlitten. Das ist eher statistisch, aber sehr lesenswert, weil es ein bisschen in die richtige Richtung denken lässt. Wo sind die richtigen Probleme und wenn man das erstmal auf dem Radar hat kann man sich auch um sinnvolle Lösungen kümmern. So lange man einfach nur durch die Gegend arbeitet wie Markus eben sagte: „Der Bildschirm ist dunkel. Macht den irgendwer wieder hell – geht es weiter.“ kann das einen relativ tiefsitzenden Grund haben so eine Sache…

…die Symptome werden nur oberflächlich wirksam…

…ganz genau. Da muss man schon einmal das Buch aufschlagen und gucken was dort drinsteht und ob dort ein Fehler ist, der irgendetwas ausgemacht hat. Und wenn man sich dann, jetzt sind wir wieder beim Thema Spionage, mit nachrichtendienstlich gesteuerten Angriffen auseinandersetzt, sind die Teilweise so gut gemacht, dass man hinterher nichts mehr finden kann. Ich komme vorbei, mache das, verwische alle Spuren und bin wieder weg. Wie soll das jemand, der gar keine Affinität zu dem Thema Security hat, überhaupt mitkriegen. Das ist das Problem. Bei uns ist häufig das Problem überhaupt den Kern des richtigen Denkens zu etablieren. Wie man dann hinten eine Lösung baut, ist ein ganz anderes.

Ich muss erstmal lernen hinzuschauen.

Peine-Paulsen: Ganz genau.

Das ist so zu sagen der große Auftrag, der dahintersteckt. Ich muss wissen was ich tue und dann muss ich noch hinsehen. Gibt es denn, wenn es schon keine richtigen Zahlen gibt, zumindest Prominente Beispiele, dass man sagt: Ok, das ist hier passiert und das wurde jetzt nicht unter den Teppich gekehrt? Man hat z.B. einfach die Bitcoins bezahlt, um den Verschlüsselungstrojaner zu deaktivieren, oder vielleicht etwas wo man sagt da ist wirklich ein Exempel statuiert worden an einem Unternehmen und die haben sich getraut damit an die Öffentlichkeit zu gehen.

Peine-Paulsen: Da gibt es mehrere Beispiele, die ich jetzt erwähnen kann. Die sind natürlich auch alle in irgendeiner Form pressebekannt. Ganz plakativ war mal der Autozulieferer Leoni, den hat ein Ransomware Angriff 40 mio. € gekostet, d.h. der hat sich damit dann freigekauft. Ansonsten wäre der Verlust wahrscheinlich noch größer gewesen. Die Stadt Neustadt hatte einmal einen Angriff erlitten und das Krankenhaus in Neuss. Das sind relativ plakative Beispiele. Es gibt viel mehr, aber wenn man nach solchen Stichworten schaut wie Ramsonware, Erpressungssoftware, findet man da sehr viel, wobei das hauptsächlich Kriminalität ist. Unser Bereich ist eigentlich Nachrichtendienst. Das ist etwas anderes. Und da haben wir ein bisschen das Problem, dass wir nachrichtendienstliche Fälle nicht hinterher in der Öffentlichkeit so darstellen, dass man wissen kann bei wem etwas passiert ist. (alle lachen) Da ist ein bisschen die Problematik. Aber es gibt durchaus solche Fälle und die können auch richtig wehtun.

Böger: Wobei gerade bei nachrichtendienstlich gesteuerten Angriffen nicht auf einen finanziell zu beziffernden Schaden ankommt. Kein Nachrichtendienst hat ein Interesse daran so und so viel Bitcoins, Euro oder Dollar zu erpressen. Geld haben die meisten genug. Da geht es letztendlich um wertige Information, um strategische Ausrichtungen und so weiter. Das lässt sich schwerlich in Geld beziffern.

Also das heißt dort geht es eher darum wo bekommen wir die Informationen her, um uns ein Bild zu machen darüber was eigentlich in der Wirtschaft bspw. in Niedersachsen vorgeht.

Böger: Ja, genau. Und die nachrichtendienstlich gesteuerten Angriffe unterscheiden auch nicht zwischen Angriffe auf Wirtschaftsunternehmen oder Behördenstrukturen. Siehe Angriff auf den Deutschen Bundestag vor einigen Jahren. Dort ist ein riesengroßer Schaden entstanden. Zum einen materiell, um die ganze Rechnerlandschaft wieder aufzusetzen, aber der schwerlich zu beziffernde Schaden ist eben welche Personen wurden angegriffen, welche Informationen sind abhandengekommen, welche Erkenntnisse lagen letztendlich dahinter, wie sind die Angriffswege u.s.w.

Und da geht es natürlich auch um Vertrauensverlust. Wenn jemand in meine Wohnung einbricht, vertraue ich der Haustür auch nicht mehr. Da geht es natürlich dann auch darum zu schauen wie schaffen wir es die Informationen drinnen zu behalten und so zu sichern, dass dort keiner herankommt. Ich möchte trotzdem nochmal auf diese ganze Wirtschaftsgeschichte zurückkommen. Du hattest gesagt es wird nicht groß unterschieden, ob es der Bundestag oder der kleine Zulieferer um die Ecke ist. Wir hatten auch schon darüber gesprochen, dass die Schadenssummen im Wirtschaftsbetrieb exorbitante Höhen annehmen können, einfach weil nicht mehr weitergearbeitet werden kann. Wie ist eure Erfahrung? Gibt es irgendetwas, das diese Fälle verbindet? Wo man sagt, das ist bei allen schiefgelaufen.

Peine-Paulsen: Die Frage ist ein bisschen breit. Aber kann man in die Richtung gucken. Wenn man sich im Auto anschnallt, hat man sein Sicherheitspotenzial für einen möglichen Unfall um ein gerüttelt Maß gesteigert. Wenn man dann noch einen Airbag hat, der funktioniert, ist das noch besser und wenn die Bremsen des Autos funktionieren ist das noch besser. All diese Sicherheitssysteme ermöglichen es uns so autozufahren, wie wir es heute machen. Ganz viele Unternehmen sind ohne Airbag, ohne Bremsen und ohne angelegten Sicherheitsgurt unterwegs. Das ist es, was die meisten verbindet. Wenn ich ein gutes Schutzniveau habe, werde ich selten Opfer. Jedenfalls nicht von diesen gieskannenartigen Angriffen, bei denen mir als Angreifer das Opfer egal ist. Ich will hinterher nur ein bisschen Geld einsammeln oder was auch immer. Wenn es ganz konkret ist, ist das etwas ganz anderes. Ich werde Opfer einer ganz gezielten Attacke, weil der Angreifer genau das will. Das sieht dann ganz anders aus. Aber diese allgemeine – ich produziere Geld auf kriminelle Art und Weise, dort ist es schon so, dass das Sicherheitsniveau nicht dem entspricht wo wir sagen würden, so muss es sein. Das zweite, das häufig passiert heutzutage, gerade bei den Ramsonware Angriffen, also dieser Erpressungssoftware, ist, dass ein Mensch dort nicht gut funktioniert hat. Wir sagen immer: Vorsichtig bei E-Mails, Anhängen, ausführbare Dateien und trotzdem klicken Menschen immer noch da drauf. Dadurch, dass das immer noch funktioniert, ist der Beweis geführt, dass Menschen das immer noch machen.

Ja, logisch.

Peine-Paulsen: Das ist ein Problem an der Stelle. Wir sind nicht in der Zeit angekommen, dass wir sagen können wir haben alle dieses gerüttelt Maß, ein Verständnis zur Sicherheit, dass wir uns ganz natürlich anschnallen, wenn wir mit dem Computer losfahren.

Der Vergleich hinkt an der Stelle ein bisschen, weil ich bei einem Gurt weiß, dass es ein Gurt ist und ich ihn um mich legen muss. Wenn ich jetzt bspw. eine E-Mail bekomme und dort drinsteht. „Hier ist meine Bewerbung“ und es läuft tatsächlich gerade ein Bewerbungsverfahren, sind dort viele tolle Anhänge drin, die ich mir alle anschauen möchte und es ist vielleicht noch mein Name drin und die Rechtschreibfehler sind so marginal, dass ich mir denken kann: Ok, das könnte echt sein. So etwas ist bei mir im Postfach gelandet. Das ist eine reale Geschichte. Ich habe diese Anhänge nicht aufgemacht, ich habe diese E-Mail gelöscht, weil ich mir denke, wenn es tatsächlich echt war, dann wird sich da jemand nochmal melden und zum Telefonhörer greifen und quasi einen zweiten Kanal aufmachen. Aber für mich ist es, und ich würde ich sagen ich bin affin für das Thema, schwer zu unterscheiden. Da haben wir lange diskutiert und am Ende habe ich den Entfernen-Button gedrückt. Aber wenn ich mir vorstelle, dass ich das bspw. meiner Mutter, die auch arbeitet, geben würde, würde der Sicherheitsgurt nicht auslösen und der Airbag auch nicht. Sagen wir mal so. Also diese Attacken werden natürlich immer ausgefeilter. Was sollte man tun?

Böger: Was man an diesem Beispiel mit dem Auto und dem Sicherheitsgurt gut erkennen kann ist, dass mich ein Sicherheitsgurt nicht vor dem Unfall schützt, sondern dass ich bei einem Unfall nicht aus dem Auto fliege…

…ich falle nicht ganz so doll auf die Nase…

…ja, aber ein Sicherheitsgurt kann nie im Leben verhindern, dass mir ein Geisterfahrer entgegen kommt. Und kein Sicherheitsgurt, kein Airbag und kein ABS können verhindern, dass mir einer die Vorfahrt nimmt. Der wird trotzdem mit mir zusammenstoßen. Genauso gibt es wenig Sicherheitssysteme im technischen Sinne, die alle Angriffe im Vorfeld abwehren. Das wird oft an uns herangetragen: „Wir werden so häufig angegriffen, Sie müssen doch verhindern, dass das nicht mehr passiert.“ Nein, das ist schwer möglich. Ich kann auch im analogen Bereich schwerlich verhindern, dass mir jemand per Post eine fingierte Rechnung zustellt. Das kann ich schlecht verhindern. Wenn der das in den Briefkasten schmeißt, wird der Postbote mir das zustellen. Das kann ich nicht verhindern. Da kann ich nur entsprechend sensibilisiert sein und sagen so eine komische Rechnung zahle ich nicht. Insofern gibt es wenige Sicherheitsmaßnahmen die das verhindern. Ich muss mir einfach dieses Risikos bewusst sein, dass ich es mit Angriffen zu tun habe, dass meine Website angegriffen wird, dass meine Server angegriffen werden, dass versucht wird mir schadhafte Anhänge, schadhafte E-Mails zuzustellen. Da greifen die Sicherheitsmechanismen, bei denen ich mir Gedanken um ein entsprechendes Sicherheitskonzept machen muss. Da steht und fällt alles mit einer Schulung, Sensibilisierung, Testen, und, und, und…

Peine-Paulsen: Wir machen anhand dieses Beispiels eine Lösungsperspektive auf. Was können wir machen? Das erste ist, du hattest es eben selber gesagt, wir haben darüber geredet und zusammen entschieden. Vier Augen denken einfach besser als zwei. Das ist erstaunlich, das ist aber auch deswegen so, weil der zweite nicht direkt beteiligt ist. Der denkt nicht mehr emotional. Der ist gar nicht betroffen. Dem ist das vielleicht auch egal. Aus dem Grund kann er aber ganz rational denken. Und er sagt dann meistens: „Guck doch mal genau hin, das kann doch nicht wahr sein“. Wenn beide aber derselben Meinung sind und sagen: „Na gut, könnte sein, könnte nicht sein“, dann sollte man sich vielleicht eher für – könnte sein, dass das nicht gut ist – entscheiden. Dann muss man sich überlegen was kann man jetzt machen. Die einfachste Lösung bei der E-Mailgeschichte, die man machen kann, ist, man nimmt die E-Mail, speichert sie auf einem USB-Stick, das geht erstaunlicherweise ohne öffnen, einfach speichern als Datei auf einem USB-Stick und diesen USB-Stick stecke ich in einen Laptop, der mit nichts anderem verbunden ist und dort öffne ich diese E-Mail. Wenn dieser Laptop dann verschlüsselt wird, wissen wir es war schadhaft, aber wir haben keinen Verlust erlitten. Es gibt Sicherheitsmechanismen, die total einfach sind. Wenn ich jetzt jeden Tag 50 bis 70 E-Mails so behandeln müsste, sollte ich mir vielleicht eine andere technische Lösung suchen. Es gibt Möglichkeiten so etwas massenhaft abzuarbeiten. Aber es gibt für alle diese kleinen Probleme auch Einsätze. Manchmal sind die mehr technologisch, manchmal mehr in Richtung Human Firewall, wobei ich mit dem Begriff wirklich sehr hadere…

…(lacht)…

…es liegt in menschlichem Ermessen das Richtige zu tun. Ich hab mal einen Scherz gemacht, deswegen sage ich das mit der Human Firewall. Ich bin in einen großen IT-Technikladen hineingegangen und sagte: „Ich möchte gerne eine Lizenz Human Firewall.

(alle lachen)

Das war ein spaßiges Gespräch. Man muss sich bewusst werden, was das eigentlich bedeutet. Die Leute reden immer von vielen Dingen, auch Human Firewall, auch Digitalisierung, oder, oder, oder, aber fokussieren nicht wirklich auf das, was es bedeutet und das ist schade an der Stelle.

Im übertragenen Sinne: Defensiv fahren.

Peine-Paulsen: Wäre manchmal sinnvoll, ja.

Böger: Ich muss mir eben überlegen wie ich mit diesen Phänomenen umgehe. Genauso mache ich das beim Autofahren auch. Wenn ich auf der Autobahn Angst habe zu fahren, weil ich kein guter, kein sicherer Autofahrer bin, dann suche ich mir eben eine Landstraße. Wenn mir das zu viel ist, fahre ich nur noch Einbahnstraßen, weil ich weiß, dass mir dort keiner entgegenkommt. Etwas übertrieben letztendlich gesagt, aber genauso muss ich mir eben etwas überlegen. Wenn ich nur, um bei dem Beispiel E-Mail zu bleiben, eine fraghafte Mail am Tag oder in der Woche bekomme, ist das kein Problem.

Dann kann man das tun, ja.

Böger: Du hattest deine Mutter angesprochen, die ich zwar nicht kenne, aber im Prinzip ist das ein gutes Beispiel.  Wenn ich jetzt vielleicht nur fünf E-Mails am Tag überhaupt kriege, dann kann ich auch diese fünf Absender anrufen. Zwei Wege letztendlich. Ich kann anrufen und sagen: „Ich hab gerade eine E-Mail von dir gekriegt, hast du mir die tatsächlich geschickt?“. Dann wird der mir sagen: „Ja, habe ich“ oder „Nein, habe ich nicht“ und schon weiß ich, das ist echt oder nicht. Da gibt es verschiedene Wege wie ich das letztendlich überprüfen kann. Ich muss es eben abzielen auf meinen Bereich. Was ist passend. Ich darf die Sicherheitsanforderung nicht zu hoch ansetzen, dann wäre das irgendwann nicht mehr praktikabel. Wenn ich mehrere Mitarbeiter habe, wird das irgendwann auch nicht mehr akzeptiert und umgesetzt. Die muss ich also auch mit einbeziehen.

Das ist dieser Spagat zwischen Sicherheit…

Böger: …und Usebility an der Stelle. Da gibt es keine Blaupause für. Da gibt es verschiedene Punkte, die man abarbeiten kann und ich muss für den Bereich, der für mich gültig ist, was bei mir genau passt, ein entsprechendes Konstrukt überlegen.

Ich würde gerne über eine aktuelle Entwicklung sprechen – ein bisschen weg vom Allgemeinen. Das Arbeiten hat sich in den letzten Monaten verändert. Ich glaube das steht außer Frage. Arbeiten mit Abstand, viele Leute sind ins Home Office gegangen, generell hat sich das Zusammenleben stark verändert. Ich kann mir vorstellen, dass sich das natürlich auch auf das Thema Spionage und Kriminalität auswirkt. Ich weiß, dass es z.B. bei Taschendiebstählen eine Durststrecke gibt.

Böger: Die können einem fast leidtun.

Ja, fast können die einem leidtun. Lässt sich so etwas für den digitalen Raum auch beobachten? Dass es da irgendwie zu einer Verschiebung gekommen ist, dass man sagt wir greifen die Leute im HO an, weil sie dort leichte Beute sind.

Peine-Paulsen: Was wir auf alle Fälle weiter gemeldet bekommen, ist dass sich in diesem Bereich, der sich um die Bearbeitung Corona dreht und dann natürlich auch im Home Office Kriminelle getummelt haben und versucht haben diese Lücken auszunutzen. Einmal, dass man mit Coronasachen Geld verdienen wollte. Ich verkaufe dir so und so viel Schutzmasken, die ich vielleicht gar nicht habe oder ich verkaufe dir Desinfektionsmittel, das vielleicht gar nicht funktionieren wird oder ich mache dir mit Corona Angst und diese Angst nutze ich aus, indem ich es mir zu Nutze mache, wenn du einen Fehler machst und mir vielleicht deine Kontonummer gibst. Bis hin dazu, dass man jetzt natürlich sagt, viele Unternehmen und Kollegen sind im Home Office und dort ist natürlich die IT viel schwerer sicher zu machen als hätte ich mein abgeschottetes bzw. teilweise offenes Firmennetz. Ich habe zwölf Jahre lang ein Rechenzentrum geleitet. Es ist nicht einfach so etwas sicher zu halten. Das ist eine permanente Aufgabe und wenn ich jetzt überlege, dass ich es damals für 250 Leute im HO hätte machen sollen, bin ich glücklich, dass ich es nicht machen musste. Das ist wirklich eine Sisyphusaufgabe. Jeder hat eine andere Technik. Wir reden schon lange über Bring your own device. Home Office ist Bring your own device quadriert.

(lacht)

Peine-Paulsen: Das ist richtig spooky.

Das heißt mal jetzt zurück zu dem Sicherheitsgurt – in Anbetracht des Virus und der Pandemie haben wir alle unsere Airbags ausgebaut.

Böger: Ja, im Prinzip. Das ist ähnlich wie eine Schwachstelle im Auto, die sagt der Motor springt nur an, wenn du deinen Sicherheitsgurt wieder löst. Und dann stehst du vor der Frage „Entweder bleibe ich hier stehen und komme nicht zum Ziel oder ich verzichte auf den Sicherheitsgurt und dann kann ich aber fahren“. Beides wollen wir nicht, aber man muss sich letztendlich für einen Weg entscheiden. Das ist die Fragestellung vor der viele Unternehmen standen, die gesehen haben, dass die 50 Mitarbeiter nicht mehr hier, sondern zuhause sind. Entweder kostet das jeden Tag sehr viel Geld, weil sie zuhause sitzen und nichts tun können oder ich weiche meine Sicherheitsvorgaben auf und mache etwas möglich, was ich eigentlich gar nicht möchte, aber dafür können die wenigstens arbeiten. In diesem Dilemma standen sehr viele und dadurch schaffe ich mir Schwachstellen, die von anderen ausgenutzt werden können.

Peine-Paulsen: Das haben wir nicht nur bei IT. Man macht im Risikomanagement immer das gleiche – vermeiden, vermindern, akzeptieren, also übernehmen. Und wenn wir jetzt in diese Richtung gucken und jetzt mal wieder die Spionagebrille aufsetzen, möchte ich nicht wissen wie viele wertige Informationen bei Menschen momentan zuhause herumliegen. In der Firma gibt es vielleicht einen Pförtner, vielleicht einen Zaun oder Videoüberwachung.

Alle ISO-zertifizierten Unternehmen haben so etwas wie ein Besuchermanagement – zwangsweise.

Peine–Paulsen: Zwangsweise, ganz genau.

Das gibt es natürlich zuhause nicht.

Peine-Paulsen: Das gibt es natürlich auch nicht. Ich möchte keinem zu nahe treten, keinen anklagen. Wir haben eine ganz andere Situation, die wir regulieren mussten, was Markus gerade erzählt hat. Da denkt man an so etwas zuerst auch nicht. Das ist genau der Unterschied in unserem Bereich, wir denken sowas nur – die ganze Zeit. Wenn wir zusammensitzen und uns unterhalten, dann denken wir permanent in solche Richtungen. Was bedeutet das denn in der Konsequenz, wenn man das so macht oder nicht macht? Was können wir empfehlen? Da wäre ein Beispiel als der Lockdown zwei Tage alt war, dass wir eine Warnmeldung über unseren Newsletter herausgegeben haben worüber die Leute jetzt nachdenken sollen, weil da die kritischste Situation gegeben war. Mittlerweile hat man sich vielleicht etabliert, bei der Technik einen VPN Tunnel aufgebaut, zuhause einen Koffer hingestellt, den man abschließen kann. Reflexartig hatten wir diesen Newsletter verteilt.

Das heißt an der Stelle, jetzt muss ich mal kurz nachhaken. Ihr gebt einen Newsletter raus und der enthält alle aktuellen Sicherheitsinformationen oder wie muss ich mir das vorstellen? Was steht dort drin?

Böger: Das ist zu viel. Diesen Anspruch können wir damit nicht erreichen. Wir verteilen den auch nur sehr niedrig frequentiert und er ist auch sehr knapp gehalten. Alle Verantwortlichen in dem Bereich wissen, dass man mit Informationen und Newslettern zugeschmissen wird und je mehr man zugeschickt bekommt, desto weniger liest man. Da versuchen wir uns ein klein wenig von abzuheben. Der Hintergrund von diesem Newsletter ist, dass wir einen Weg suchen, alle Unternehmen mit denen wir verbunden sind über aktuelle Dinge aufmerksam zu machen. Vielleicht auch mit Informationen, die ich in drei, vier, fünf anderen Newslettern oder anderen Sicherheitsportalen vielleicht nicht kriege. Und daraus resultieren Erkenntnisse: „Ich weiß wie gestern bei meinem Nachbarn eingebrochen wurde“ und genau diese Informationen gebe ich weiter und kann mich selber schützen und diese Schwachstelle schließen. Das ist der Hintergrund von diesem Newsletter.

Und den bekomme ich bei euch auf der Seite.

Böger: Wir haben alle aktuellen auf unserer Website eingestellt. verfassungsschutz.niederssachsen.de, wenn man sich da im Bereich Wirtschaftsschutz durchklickt, findet man das da verlinkt. Oder dort ist auch unsere E-Mailadresse hinterlegt. Wenn man uns anschreibt, nehmen wir jeden gerne mit auf. Und wenn man hinterher feststellt, dass das doch nichts ist, nehmen wir jeden auch gerne wieder runter.

(alle lachen)

Böger: Gerne nicht, aber natürlich nehmen wir den wieder runter.

Man bleibt ewig auf der Liste drauf.

Peine-Paulsen: Nein

(alle lachen)

Peine-Paulsen: Wir können auch vergessen, so ist es nicht.

Das ist gut zu wissen. Ich habe mit meiner Kollegin gesprochen. Die hat viel mit Startups zu tun und auch vielen Hightech Startups. Deutschland und Niedersachsen sind Innovationsstandorte und wir wollen bei der Technik natürlich ganz vorne mit dabei sein und das bedeutet natürlich auch, dass wir viele Dinge erfinden wollen, die erstmal natürlich ein bisschen unter dem Radar bleiben müssen, bis sie dann marktreif und geschützt sind. In der Zeit davor ist es natürlich eine super wichtige Information, die da bei einem Ein/Zweimann/fraubetrieb liegt. Die haben super viel zu tun, weil die sich alle um ihre Geschäftsidee kümmern. Da ist nicht so viel mit IT-Security. Das ist nicht so, dass die wir Ihr beide den ganzen Tag darum kümmern können. Was empfehlt ihr denen?

Peine-Paulsen: Wir hatten schon einmal einer anderen Situation darüber gesprochen. Diese ganzen Hidden Champions und auch Startups sind unheimlich wertvoll, weil man sich das so vorstellen muss, je einzigartiger eine Information ist, desto mehr ist sie natürlich auch wert. Wenn ich jetzt irgendetwas erfunden habe oder am Entwickeln bin, das kein anderer hat, ist das eine riesentolle Information. Wer macht so etwas – Startups. Da müssen wir nicht lange denken. Und deswegen sind Startup so unheimlich wichtig in diesem Punkt. Schade ist, du sagtest es gerade, die haben viel anderes zu tun. Häufig sind die im universitären Sektor unterwegs und teilen gerne Informationen. Es gibt nicht diese Trennschärfe, was nicht wichtig zu teilen und was schon wichtig  zu teilen ist. Uns sind diese Unternehmen i.d.R. auch nicht bekannt. Wenn wir heute durch diesen Podcast schaffen, dass mehr Startups sagen „Was die erzählen ist interessant, das höre ich mir mal an“, wäre das toll. Der Punkt ist ganz einfach, man hat viel zu tun, aber das Ganze, was man gerade aufbaut in Gefahr zu bringen, weil man nichts an der richtigen Stelle tut, ist fahrlässig. Dann ist die Frage wie hoch muss der Aufwand sein, um in irgendeiner Form save zu werden. Darüber sprechen wir wirklich total gerne mit Menschen, weil es dort, Markus hatte es schon gesagt, viel gibt, was man machen kann. Man kann sich ISO 27.000 zertifizieren…

…dann liegt die Höhle da oben, nicht unten…

…genau. Dann ist man ungefähr dort, wo der Berg keinen Sauerstoff mehr hat. Aber es gibt natürlich sehr viel mehr kleinere Dinge, die man sich mal angucken kann. Wir empfehlen gerne VDS 10.000. Das ist ein Druckwerk von ungefähr 30 Seiten und wenn man das durchliest und die Fragen ehrlich beantwortet, dann bekommt man zumindest ein Gefühl dafür wo die Probleme sind. Wie ich mich darum kümmere, hängt natürlich wieder von Zeit und Geld ab. Das ist aber auch die Richtung in die wir beraten. Jeder muss sich zertifizieren? Nein, das macht keinen Sinn. Wir wollen ein Niveau erreichen, was angepasst ist auf das Problem.

Gibt es etwas bei dem ihr sagt. „Das ist ein Mindestmaß? Das sollte jedes Unternehmen, egal wie groß, gemacht haben“.

Böger: Ja, das gibt es. Das sind die Gedanken, die ich mir darüber mache. Damit fängt es letztendlich an. Ich muss ein Gespür dafür entwickeln, dass das womit ich gerade arbeite, durchaus schützenswert ist. Darauf muss alles aufbauen. Dann ist es aber schwierig allgemeingültige Aussagen zu treffen. Ich kann jetzt eine Hand voll Sachen nennen, achte hierauf, achte darauf. Dann hört sich ein Startup das an und sagt: „Wenn ich das mache, kann ich so nicht mehr arbeiten. Wenn ich das mache geht das nicht, also lasse ich alles sein“. Das ist schwierig und auf solche Sachen kommt man letztendlich im Gespräch, weil man dort feststellt, wo konkrete Baustellen sind. Wie werden Informationen gelagert. Welchen Wert haben diese Informationen. Wer geht mit diesen Informationen um. Wo sitzen diese Personen. Wie tausche ich mich aus.

Das wäre ein Ansatz für ein Informationsmanagement, was dann sicher ist.

Peine-Paulsen: Genau, da ist auch der Punkt, man hört ganz häufig in Vorträgen oder wo auch immer das Wort bzw. Wortgebilde „IT-Sicherheit“, was sicherlich wichtig ist aus gewissen Gesichtspunkten.

Kostet Geld.

Peine-Paulsen: Kostet Geld. Was wir immer empfehlen ist Informationssicherheit und das hat einen leichten Unterschied. Wenn man dort mal in die Literatur guckt, es gibt auch nur Informationssicherheitmanagementsysteme, keine IT-Sicherheitsmanagementsysteme. Das hat seinen Grund. Informationen sind schützenswert, die sind Geld wert und IT-Sicherheit kostet Geld. Nicht, dass man das nicht machen sollte, aber das schützenswerte Gut ist die Information. Um die muss ich mich kümmern. Das erste was ich machen muss, ist sie in irgendeiner Form zu kategorisieren. Der Spiegel oder Stern von letzter Woche ist vielleicht nicht ganz so viel Wert in dieser Kategorie wie ein Vertrag mit einer Firma oder meine Entwicklung. Und das besondere an diesen Informationen ist, dass man sie erstaunlicherweise, das ist gar nicht mehr so bekannt, auch nicht digital speichern kann – z.B. in Aktenordnern. Da liegen dann wichtige Informationen, wenn dann der Aktenordner wegkommt, ist auch diese Information weg. Das Gebilde, um das wir uns mühen, ist Information und die kann auch beim Menschen im Gehirn sein. Dieses Verständnis hinzukriegen und zweitens diese Aufräumarbeit zu machen, welche Information in welche Kategorie gehört, ist wichtig. Das dritte ist dann wie baue ich für welche Kategorie welche Sicherheit. Das ist die Aufgabe, die man machen muss und das ist erstmal nur intellektuelle Arbeit. Das kostet noch kein Geld, das kostet nur Zeit.

Böger: Wir zwingen auch kein Unternehmen irgendetwas zu machen…

…aber ihr helft dabei…

…das können wir nicht, das wollen wir nicht und das dürfen wir auch nicht (lacht). Letztendlich liegt das in der Verantwortung jedes Unternehmens. Daher brauch man keine Scheu haben den Kontakt zu uns zu suchen. Wir können uns eine, zwei oder auch drei Stunden zusammensetzen und über gewisse Fragestellungen debattieren und Empfehlungen aussprechen und können beraten und wenn das Unternehmen am Ende sagt. „Es ist alles schön was ihr mir hier sagt, aber für uns kommt das nicht in Frage“, dann ist das so. Es liegt in der Verantwortung des Unternehmens. Für uns sind es schützenswerte Informationen, die dem Unternehmen gehören und in letzter Konsequenz ist auch das Unternehmen für den Schutz seiner eigenen Informationen verantwortlich. Ich kann mir externen Sachverstand hinzuholen und sagen, pass auf wir können dieses, jenes und welches machen, aber letztendlich sind es die Informationen des Unternehmens. Wenn ich 100.000€ von A nach B bringen möchte, dann habe ich ein persönliches Interesse daran, dass ich es nicht auf einen offenen Pritschenwagen lege und über die Autobahn fahre, um hinterher die Bundesrepublik Deutschland zu verklagen: „Du hast eine blöde Autobahn gebaut, weil mein Geld weg ist“. Das funktioniert nicht.

(lacht)

Man kann es versuchen

Böger: (lacht) Man kann es gerne versuchen. Wenn man es gerne probieren möchte.

(alle lachen)

Das hängt davon ab wie viel Geld man insgesamt hat

Böger: Es ist aber mein Geld und deshalb sollte man ein persönliches Interesse daran haben es sicher von A nach B zu bewegen. Wie ich das aber mache, wenn ich da jemanden sitzen habe, der sagt“ „Mach ein Gummiband herum, das wird schon passen“ oder es sagt jemand: „Nimm wenigstens kein Cabrio“. Ich muss die Entscheidung treffen, weil es mein Geld ist und meine Informationen sind.

Aber ihr helft dabei diese Entscheidung zu finden.

Peine-Paulsen: Gerne.

Böger: Sehr gerne. Dafür sind wir letztendlich da.

Sehr schön. D.h. da gibt es schon einmal eine Menge Unterstützung. Es gibt aber natürlich noch mehr Unterstützung. Wir haben schon einmal darüber gesprochen, dass man IT-Sicherheit machen sollte, auch wenn es Geld kostet, aber auch dafür gibt es natürlich Unterstützung, bspw. Förderinstrumente.

Peine-Paulsen: Ja, natürlich. Letztlich wenn man bei diesem Thema Informationssicherheit, Informationsmanagement anfängt, kommt man natürlich irgendwann darauf, dass man manche Informationen auf irgendwelchen Festplatten liegen hat und dann wird sofort klar, dass die technische Sicherheit für diese Festplatten auch gegeben sein muss. Und dann hat man natürlich sofort das Fass IT-Sicherheit aufgemacht – vollkommen klar. Aber das ist auch eine Konsequenz aus Informationssicherheit. Das ist eine Teilmenge. Das wird häufig wirklich falsch herum gesehen und das ist schade, weil man dann den ganzen Rest vergisst. Ich will nicht den Fokus davon ablenken. Ich will eher den Horizont erweitern und sagen „Fangt bitte an der richtigen Stelle an zu denken, weil ihr dann auch alles umfasst und dann entscheiden dort ist nicht so wichtig, dort ist es auch nicht so wichtig, aber bspw. dort ist es wichtig, weil dort sehr wichtige Informationen sind“. Diese Gemengelage ist bei jedem Unternehmen anders und deswegen sind solche Sachen wie z.B. dieser Quickcheck oder die VDS 10.000 tolle Instrumente, weil man erstmal durch das Frage-Antwort-Spiel in die richtige Richtung gedrückt wird. Ich hatte mir das extra nochmal ausgedruckt, weil das eine tolle Sache ist. Der Vorgänger der VDS 10.000, die VDS 3473 die hatte 2016 den Branchenoscar, den Security Innovation Award gewonnen. Das muss man sich mal vorstellen. Ein Dokument, 30 Seiten Papier, nur Fragen-Antworten, gewinnt den Security Innovation Award. Und wir sprechen jetzt von dem Nachfolger.

Klingt nicht so Hightech. Sagen wir mal so.

Peine-Paulsen: Erstaunlich, oder?

(lacht)

Ja.

Peine-Paulsen: Wie konnte das jetzt funktionieren? Und das Ganze wurde dann auch noch auf der Security in Essen vorgestellt, was wirklich die führende Leitmesse für Securitytechnologie ist. Da merkt man dann auch da ist ein bisschen mehr dahinter. Und wenn so viele Leute sagen das ist so, dann sollte man sagen „Jetzt bin ich Lemming und renne mit in die Richtung“.

Klingt erstmal nicht so schlecht…

Böger: …und kostet auch erstmal nichts. Ich kann mir das als PDF herunterladen und durchlesen…

…das wäre die nächste Frage gewesen. (lacht)

Böger: Und erstmal kostet das nichts. Diese Richtlinie wurde auch nicht aus Nächstenliebe erstellt, so ehrlich kann man an der Stelle sein. Da steckt der Sinn dahinter damit Geld zu verdienen, aber man kann sich zertifizieren lassen und man kann sich versichern lassen auf dieser Grundlage, aber das ist alles Kür und keine Pflicht. Erstmal kann ich mir dieses Dokument herunterladen und ich kann mir das durchlesen und kann mir Gedanken darüber machen und kann das auch selber umsetzen. Das kostet erstmal, außer ein wenig Zeit für mich, nichts weiter. Das andere kann ich, muss aber nicht.

Klingt nach einem guten iterativen Vorgehen. Wieder neu zu schauen und zu gucken was ich für mich jetzt noch besser machen kann. Erstmal mit kleinem Aufwand anfangen und es ein bisschen sicherer zu machen.

Peine-Paulsen: Dass was du jetzt nebenbei angesprochen hast, ist sowieso ein ganz wichtiger Fakt. Wenn ich jetzt losgehe ich und sage ich bin heute hier und möchte morgen meine Firma sicher haben, dann mache ich mit Sicherheit schon den ersten kapitalen Fehler. Das wird nämlich nicht klappen. Sicherheit ist aus zwei Gründen ein iterativer Prozess. Erstens ich kann das nicht einschalten, ich muss mich da schon ein bisschen vorarbeiten. Zweitens aber wird die Welt um mich herum sich permanent verändern. Das tut die Welt einfach so. Das ist auch ihre Aufgabe. D.h. ich muss meine Sicherheit auch immer darauf anpassen. Ich muss da schon zwei-, dreimal im Jahr drüber nachdenken, ist das noch in Ordnung. Das ist auch nicht zwei Wochen Arbeit für ein ganzes Kompetenzteam. Aber ich kann mir das dann einfach durchlesen. Ich mach mal ein anderes Beispiel. Business Continuity Management – also mein Produktionsband soll am besten 24/7 das ganze Jahr laufen. Ich habe zwei Wartungsintervalle eingefügt – Ostern und zu Silvester, aber ansonsten soll das laufen. Da muss ich einen Plan haben was passiert, wenn irgendeine Maschine heißgelaufen ist oder irgendwo eine Sicherung ausgebrochen ist. Was tue ich dann. Diese Pläne muss ich mir ein-, zweimal im Jahr angucken und sagen „Haben wir neue Sicherungsautomaten gekriegt? Ist das Öl noch das Gleiche? Haben sich die Rahmenparameter verändert?“ Genauso ist das auch bei dem Informationssicherheitsmanagementsystem. Das ist genau das Gleiche und ist wiederum nur intellektuelle Arbeit.

Das kann ich mir im Prinzip an den Wartungsplan mit dranschreiben. Die Ölstandskontrolle muss nicht abgekoppelt sein von der Überprüfung der IT-Sicherheitskontrolle.

Peine-Paulsen: Das können wir heute sogar digitalisieren. Einen Sensor ran und wunderbar. Dann kriege ich das auf dem Dashboard angezeigt. Wir haben heute Techniken und das interessante ist, dass man Menschen wiedertrifft, Markus noch viel länger, aber ich mache das auch schon ein paar Jahre, mit denen man vor drei, fünf, sechs Jahren eine Beratung gemacht hat. Und vor drei, sechs, fünf Jahren waren die sehr blauäugig und heute kann man sich mit denen über das Thema sehr gut unterhalten. Die sagen dann auch: „Das haben wir gemacht. Das haben wir gemacht. Das hat uns geholfen. Das haben wir nicht gemacht“. Man spricht da auf einmal mit viel mehr Kompetenz darüber. Und das Eigentliche, das hinter dem ganzen Thema steckt, ist Kompetenz. Ich muss mein Umfeld und meine Feinde kennen, damit ich einen entsprechenden Zaun bauen kann.

Das zeigt, dass die Präventionsarbeit wirkt und ich glaube das ist ein ganz gutes Schlusswort. All die Informationen, die wir jetzt besprochen haben, haben wir auf unserer Seite, auf unserem Infoportal, zusammengestellt und die gibt es bei Euch beim Verfassungsschutz bzw. beim Wirtschaftsschutz Niedersachsen. Mir bleibt jetzt zu sagen, es gibt eine Menge Unterstützung, es wird viel gefördert, es gibt auch viel kostenfreie Unterstützung für die Unternehmen und ich würde das Ganze einfach auf die Website unter dem Podcast verlinken, damit man die Informationen auch wirklich komprimiert wiederfindet. Euch beiden vielen Dank, dass Ihr Euch den Fragen gestellt habt. Wir könnten sicherlich noch zwei weitere Tage damit füllen, weil es einfach so ein riesiges Thema ist. Ich freue mich aber sehr, dass wir das heute nochmal behandeln konnten und freue mich auf ein Wiedersehen. Vielen Dank an Euch beide.

Peine-Paulsen: Herzlichen Dank.

Böger: Sehr gerne. Wir kommen auch gerne wieder.

Danke.

(Bild: tianya1223/pixabay)