Cyberangriffe nehmen ständig zu. Welche Rolle spielt die Volksrepublik China und was machen wir in Deutschland und Europa um das zu verhindern. Wie kann man sich selbst und sein Unternehmen vor Datendiebstahl schützen?
Cyberangriffe aus China – Wie sich eine Wirtschaftsmacht Wissen erschleicht
6. August 2020 – Wer ein wenig die aktuellen Medien verfolgt und sich durch die Corona-Krise nicht komplett in Beschlag nehmen lässt, erfährt immer wieder von mehr oder minder spektakulären Cyberattacken. Meist hat man als Quellen Russland und Nordkorea im Ohr. Aber das täuscht.
So belämmernd das für uns Deutsche und Europäer ist: Den brillantesten Nachweis für die Bedrohung durch chinesische Hacker zeigt folgende Grafik aus einer Präsentation der US-amerikanischen Cyberdefense-Firma Crowdstrike, die diesen Technologieraubzug minutiös dokumentiert hat.
Wie schnell war welche Cyberattacke?
Wo hatte welche Attacke ihren Ursprung? – Quelle: Crowdstrike.com
Es gibt leider keine deutsche und auch keine europäische Tech-Schmiede, die so etwas leisten kann. Die nächste Company, der man solche Erkenntnisse zutrauen kann, werkelt in Israel, ist ebenfalls an der NASDAQ gelistet und sicherlich ebenfalls und schon länger eine große Nummer im Geschäft mit Antivirensoftware und Firewalls sowie den begleitenden Services.
Wer mehr erfahren will, der findet in den Securityberichten Decade of the RATs und 2020 Threat Report weitere Informationen.
Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf
So lautet die unheimliche Überschrift des Allianz Risk Report 2020.
Doch was lernen wir daraus?
Die Bedrohung der staatlichen Infrastruktur
Durch das IT-Sicherheitsgesetz gibt es zum ersten Mal einer Reaktion des Staates auf den unerklärten Cyberkrieg, der uns täglich umgibt. Wir blenden ihn tatsächlich nur aus, weil wir denken, uns wird das schon nicht erwischen. Allein das Studium der Webseite des BSI (Bundesamt für die Sicherheit in der Informationstechnik) sollten eines Besseren belehren.
Interessanterweise ist die Bereitschaft, in Sicherheit zu investieren, immer noch nicht sehr ausgeprägt. Auch die ganzen Aktivitäten des BSI zum Thema IT-Grundschutz haben nicht wirklich viel bewirkt.
Stattdessen lesen wir überall von Wirtschaftsverbänden, Kommunen, Ärzten, Krankenkassen, Krankenhausträgern, Schulen und anderen das permanente Lamento in Sachen DSGVO, dabei ist es nunmal wahr, dass das 1972 erlassene Bundesdatenschutz bis auf fast des letzte Tüpfelchen identischen Vorgaben enthalten hat, die allerdings nicht strafbewehrt waren. Die Klage, es wäre nicht genug Zeit, um sich vorzubereiten, führt daher meilenweit an der Wahrheit vorbei – im Gegenteil: Der unverantwortliche Hang dazu, den Kosten eines vernünftigen Schutzniveaus zu vermeiden, besteht fort, und denen, die sich um ihre Verantwortung drücken, ist im Grunde nicht nur ihre eigene Firma oder Organisation schnurz, nein, auch die Sicherheit der Daten, die ihnen Kunden, Geschäftspartner, Mitarbeiter und Bürger anvertraut haben.
Der Mittelstand übt sich in Kostenvermeidung auf Teufel komm raus
Nicht erst seit COVID19 kauft der sich der Geschäftsführer eines KMU und der Arzt meist lieber ein größeres Auto, bevor er Geld für die IT-Sicherheit ausgibt. Dass das sehr gefährlich ist, zeigt nicht zuletzt die Cyberwehr Baden-Württemberg, deren Services landesweit ausgebaut werden sollen.Wir haben die Cyberwehr bereits im Mai 2019 auf unseren Mobile Security Days vorgestellt. So sinnvoll und lobenswert sie ist, besteht der Grund ihrer Einrichtung darin, dass man jahrzehntelang in Sachen Datensicherheit und Datenschutz praktisch Nichts getan hat, um Ausgaben zu umgehen. Und wenn dann das Kind in den Brunnen gefallen ist, muss geholfen werden – in der Hoffnung es noch Retten zu können.
Oft wird behauptet, dass man das nicht habe wissen können, weil man kein Cyberexperte sei. Ist das nicht nur eine Schutzbehauptung? Denn, wenn eine Sache nicht nur in Fachpublikationen thematisiert wird, sondern bereits in den Wirtschaftsteilen der lokalen Presse und überall in Nachrichten seit Jahren präsent ist, dann setzt man schlichtweg andere Prioritäten. Cyberabwehr wird stiefmütterlich behandelt – sie ist nicht sichtbar – dabei kostet eine erfolgreiche Cyberattacke das Unternehmen schnell mehrere Millionen Euro.
Es nützt schon lange nichts mehr, freundlich auf die Probleme aufmerksam zu machen, wenn ganze Staaten und Volkswirtschaften unter Angriff stehen und die, die entscheiden könnten, einfach den Geldbeutel zusperren und die Prioritäten in der erlebten Form setzen. Auch wenn das hart klingt. Manchmal kommt man sich bei der Betrachtung dieses Zustands vor, als seien ganz Staaten und ihr Volkswirtschaften dabei, sehenden Auges lustvoll Selbstmord durch Nichtabwenden des sicheren eigenen Todes zu begehen.
Cyberabwehr und Geräteverwaltung aus einer Hand
Cyberangriffe aus China – Wie sich eine Wirtschaftsmacht Wissen erschleicht
Die Anti-Ausverkaufsregelungen gegen chinesische und andere ausländische Firmenübernahmen
Doch was haben die lauthals bejubelten Maßnahmen mit der der Diskussion der Notwendigkeit von Cyberabwehrmaßnahmen besonders in Wirtschaft, Forschung und Entwicklung zu tun? Ziemlich viel.
Die entsprechenden gesetzlichen Regelungen dienen dem Schutz vor Abfluss technologischer Kompetenz durch Aufkauf von Technologieunternehmen. Dass staatliche Stellen auf nationaler und EU-Ebene bei Firmenübernahmen auch kleinere Unternehmen zustimmen müssen, war und ist Ausfluss der Strategie der Volksrepublik China, in definierten Technologiefeldern die Weltmarktführerschaft zu erreichen. Dabei ist zu beachten, dass nicht nur die Zentralregierung solche Pläne verfolgt – auf der Ebene der Regionen gibt es ähnliche Ziele, die in konkreten Plänen mit Meilensteinen zeitlicher und technischer Art unterlegt sind. Die chinesische Marktwirtschaft ist eine gelenkte – wenn sie überhaupt marktwirtschaftlich nach unseren Vorstellungen zu nennen ist.
Die Asymmetrie zwischen der Umgebung, die China auf unseren Märkten vorfindet, und der Art, wie Geschäftemachen im chinesischen Binnenmarkt reguliert wird, ist dermaßen eklatant, dass es verwundert, dass man diese Situation bis heute nicht konsequent angegangen ist. Es gibt daher durchaus Elemente in der Trumpschen Außen- und Außenwirtschaftspolitik, die einen realen Kern und damit eine unbestreitbare faktische Berechtigung haben: Hier liegt er völlig und ist eigentlich trotz seiner Maßnahmen immer noch viel zu nett – von dem, was in Berlin und Brüssel geschieht, wollen wir lieber nicht qualifizierend reden.
Wichtiger ist, dass wir verstehen, dass China seine Pläne „at all costs“ und „whatever it takes“ umsetzen wird. Wenn also Kopieren und Kaufen nicht mehr gehen, dann wird gestohlen. Und wie das geschieht, das liegt auf der Hand: mittels zielgerichteter Wirtschaftsspionage, die in der Regel über Cyberangriffe erfolgt – aber durchaus nicht nur. Hier zu hoffen, dass irgendein chinesischer Politiker oder Beamter oder gar Unternehmenschef ein schlechtes Gewissen käme, auf diese Weise erworbenes Wissen und Knowhow einzusetzen, hat sich in mehrfacher Hinsicht getäuscht. Das setzte voraus, dass beide Seiten über das gleiche oder wenigstens ein kompatibles und in gewisser Form reziprokes Wertegerüst verfügten.
China schläft nicht – Aerotime C919 – die staatlich finanzierte Konkurrenz zu Airbus und Boeing – Quelle: ZDNet
Dem ist in jeder Hinsicht nicht so. Vielmehr ist der chinesische Nationalkommunismus überall dort nach unseren Traditionen gewissensbefreit, wo es um die Erreichung der Maximen China First, Communist Party Second und President Xi Jinping Third geht. Man kann diese Maximen getrost in der Reihenfolge ändern – das hat keinen Unterschied in der Auswirkung. Rechtsfertigungsdruck im Sinne eines Gewissens westlicher Sozialisation kann in keinster Weise auch nur im Entferntesten erwartet werden.
Der Wissensklau durch Cyber-Angriffe nimmt zu und betrifft jeden
Es gibt nichts und niemanden, der sich vor Cyberangriffen sicher sein kann. Dazu sind die Geschäfte viel zu lukrativ. Man kann mit unserer Naivität und ein paar anderen menschlichen Eigenschaften mit Cyberkriminalität zu leicht und viel zu einfach viel Geld verdienen. Ja, das ist ein knallhartes Geschäft geworden. Da wird auf eigene Rechnung gearbeitet, man lässt sich von Firmen anheuern, um missliebige Wettbewerber zu bestehlen, zu schwächen und zu verdrängen. Man lässt sich von Regierungen beauftragen, bestimmte Informationen zu beschaffen oder ein Stromkraftwerk lahmzulegen. Oder den Bundestag mal kurz anderthalb Jahre lang auszuspähen. Und dann wären da noch die Geheimdienste, die staatlichen Cyberarmeen, die auch auf dem weltweiten Schlachtfeld des unerklärten Cyberkriegs tummeln.
Cyberangriffe aus China
Jedes Unternehmen, das über eine interessante Erfindung verfügt, ist im Visier. Gleiches gilt für alle staatlichen und halbstaatlichen Forschungseinrichtungen. Wer aufmerksam zugehört hat, kann sich an den Vorwurf der Britischen Regierung erinnert, russische Hacker hätten versucht, Forschungsergebnisse über einen vielversprechenden COVID19 Impfstoffkandidaten zu entwenden. Einen nahezu gleichlautenden Vorwurf kam die Tage aus den USA gegenüber chinesischen Diebstahlsversuchen in der Impfstoffforschung.
Eines ist klar: Die Diebe kommen nicht physisch. Sie brachen nicht ein, indem sie ein Fenster einschlugen oder eine Tür aufhebelten. Sie kamen übers Netz, übers Smartphone, einen Homeofficearbeitsplatz, eine Aufzug- oder eine Klimananlagensteuerung. Ja, Sie haben richtig gelesen, über die Steuerung der Lüftung der Reinräume, die von außen über das Internet gewartet wird. Oder über die Steuerung eines Aufzugs. Oder einen Kaffeeautomaten: So laufen heute Cyberangriffe.
Nein, es ist nicht hoffnungslos. Ja, man kann sich schützen. Aber eines ist sonnenklar: Das kostet. Und diese Realität erlaubt weder Schlafmützigkeit noch falsche Ausgabeprioritäten. Denn wenn es keine Technologieführerschaft mehr gibt und die Firma insolvent, ist nicht einmal mehr ein Sechszylinder mit Hybrid und ein Urlaub an der Ostsee drin. Allein das sollte Grund genug sein, Cybersicherheit endlich ernst zu nehmen und ganz vorne auf die Agenda dessen zu setzen, was selbst in der aktuellen Corona-Pandemie sofort umgesetzt werden muss.
