Spätestens seit Edward Snowdon und seinen NSA-Enthüllungen dürfte auch dem Letzten klar sein, dass in der vernetzten Welt neuartige Gefahren lauern. Dass man unsere Handys abhört oder uns beim Surfen über die Schulter schaut, wussten wir eigentlich schon vorher. Aber getan haben wir nichts, außer den Kopf in den Sand setzen.
Ich habe an anderer Stelle schon meine Sicht der Dinge in Sachen Big Data dargestellt: Solange ein Wirtschaftsunternehmen Informationen über mich sammelt, um mich besser bedienen zu können, finde ich das in Ordnung. Mit Dingen erfreut werden, die ich sowieso will und mich nicht mehr mit Angeboten zu belästigen, die ich nicht haben will, ist prinzipiell in Ordnung. Das ist nicht Big Brother, das ist allenfalls Little Brother, wie der „Economist“ unlängst schrieb. Oder anders ausgedrückt: Es ist das, was ein Tante Emma-Laden früher so erfolgreich machte: Die Ladenbesitzerin kannte mich und wusste, wann ich was will. Sie konnte mir aber auch sagen: „Lieber Herr Cole, wir haben etwas Neues hereinbekommen, und das wird Ihnen schmecken!“
Marktwirtschaft ist die beste Form des Datenschutzes, denn wenn ein Unternehmen meine Daten so verwendet, dass mir ein Schaden daraus entsteht, habe ich als Kunde ein Machtmittel in der Hand: Der Entzug der Kundenbeziehung. Und das tut richtig weh…
Anders als beim Privatmenschen sind Firmen, Organisationen und staatliche Stellen aber immer häufiger Ziel von wirtschaftlich motivierter Spionageattacken, und da bietet das Internet völlig neue Möglichkeiten und Bedrohungsszenarien. Aber so, wie wir als Privatleute nur selten bereit sind, Maßnahmen zum Schutz unserer Daten zu ergreifen (oder benützen Sie vielleicht E-Mail-Verschlüsselung? Na also…), genauso wenig sind Unternehmen in der Praxis bereit, wirkungsvolle Schutzmaßnahmen zu ergreifen. Ein IT-Experte, der für eine große Supermarktkette arbeitete, klagte mir einmal sein Leid: Immer, wenn er zum Chef ging und Geld für IT-Sicherheit haben wollte, erwiderte der: „Ist denn vielleicht schon mal was passiert?“ Gestandene Manager, die bei jedem Geschäft gewohnt sind, Risiken abzuwägen, werden beim Thema IT Security plötzlich zu blindwütigen Zockern – bis es zu spät ist.
In seinem wunderbaren neuen Buch „Digitale Spionage – die neue Waffe im globalen Wettbewerb“ beschreibt mein alter Freund Thomas R. Köhler sehr schön, mit welcher blauäugigen Unbekümmertheit selbst Spitzenmanager zu Werke gehen, wenn es um das Absichern empfindlicher Computersysteme geht. Aber er tut noch etwas anderes: Er macht das Thema auf einmal greifbar!
Tom ist ein ganz alter Hase in Sachen Online-Sicherheit. Aber in diesem Buch geht er sehr viel weiter als in „Die Internetfalle“ (2010) oder „Der programmierte Mensch“ (2012): Er holt aus zum ganz großen Wurf, indem er Geschichte, Gegenwart und Zukunft der Unternehmensspionage plastisch und mit vielen Beispielen beschreibt und uns daran erinnert, dass Wirtschaftsspionage nichts Ursächliches mit dem Internet zu tun hat, sondern dass es das zu allen Zeiten und überall auf der Welt gegeben hat. So bemüht er zum Beispiel den chinesischen Schriftgelehrten Sunzi (oder Sun Tzu), der schon 500 vor Christus die Spionage als eine der wesentlichen Erfolgsfaktoren des schlauen Feldherren beschrieb („…wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten“). Im Kapitel „3 („Von der Old-School-Spionage zu modernen Angriffsmethoden“) erinnert er uns an Meilensteine der Schnüffelgeschichte, zum Beispiel an das „Ohr des Dionysios“ – ein trichterförmiger Kerker, den der Tyrann von Syrakus im 4ten Jahrhundert vor Christus erbauen ließ und der es ihm erlaubte, unbemerkt Gespräche zwischen Gefangenen abzuhören. Der Verrat des Geheimnisse der Glasbläser von Murano, die von Europäern gestohlenen Rezepte der chinesischen Porzellanhersteller, die deutschen Dampfmaschinenbauer, die ihr Knowhow aus England bezogen, das Ende des Gummibärchenmonopols: Sie alle, über die schon ganze Bücher geschrieben wurden, inszeniert er als spannende Kurzgeschichten, um den Leser für das Thema zu sensibilisieren und ihm klar zu machen: Wirtschaftsspionage ist so alt wie die Menschheit selber.
Dass sich die Methoden allerdings geändert und die Bedrohungsszenarien heute größer und furchterregender denn je sind, das zu vermitteln ist Aufgabe von Kapitel 4 („Wirtschafts- und Industriespionage im digitalen Zeitalter“). Und auch hier setzt Tom auf das Stilmittel des Geschichtenerzählens, etwa wie SAP am Ende 306 Millionen Dollar an Oracle bezahlen musste, weil sie Daten aus den Supportsystemen herunterluden, oder wie die kanadische Telefongesellschaft Nortel 2009 durch den Diebstahl von wichtigen Entwicklungsdokumenten in die Pleite getrieben wurde, nur weil ein Hacker die Passwörter von sieben Spitzenmanagern geklaut hatte und die Firma das jahrelang ignorierte.
Als Leser hat man ständig Gänsehaut, und das ist auch die Taktik, die IT-Sicherheitsexperten schon immer gefahren haben, um an Beratungsaufträge zu kommen oder Sicherheitsprodukte zu verkaufen. „IT Security ist ein Geschäft mit der Angst“, sagte mir vor langer Zeit schon der Manager einer großen Firma, die Virenschutzsysteme verkauft. Tom Köhler greift auch in diese Kiste – aber er geht weiter, viel weiter: Die zweite Hälfte seines Buchs ist dem Thema Prävention gewidmet. Kapitelüberschriften wie „Auf dem Weg zum ‚spionagesicheren‘ Unternehmen“ oder „Gefahren erkennen, aber wie?“ zeigen schon, wohin für ihn die Reise geht. Er listet Warnsignale in der analogen Welt („ungeklärte Einbrüche“, „parkende Fahrzeuge“, „unerwartete Geschenke oder Gewinne“) ebenso auf wie in der digitalen („“verschwundene Geräte“, merkwürdige Dateianhänge“, „langsame Computer“, „herumliegende USB-Sticks“) und gibt konkrete Tipps für Gegenmaßnahmen. Vor allem fordert er seine Leser, sofern sie Manager sind, dazu auf, Sicherheit und insbesondere IT-Sicherheit zum Teil der Firmenkultur zu machen.
Mir kommt das alles sehr vertraut vor, denn ich habe vor 15 Jahren ein ähnliches Buch geschrieben und zum Teil die gleichen Ratschläge gegeben. „Managementaufgabe Sicherheit“, das bei Hanser erschien, war allerdings ein Flop: Kein Manager wollte sich seinerzeit offenbar ernsthaft mit dem Thema auseinandersetzen. Ich wünsche Tom, das sich die Zeiten geändert haben und sein Buch bald im Regal jeder verantwortungsbewussten Führungskraft steht.
Eine Frage allerdings kann das neue Buch ebenso wenig beantworten wie damals mein eigenes: Lässt sich IT-Sicherheit rechnen? Das Problem, das Thomas Köhler ebenfalls sehr gut beschreibt, liegt in dem Unwillen von Unternehmen und deren Manager begründet, zuzugeben, dass sie Opfer von Spionageangriffen geworden sind. Gut, es sind in den Jahren seit „Managementaufgabe Sicherheit“ mehr geworden, aber nach wie vor verzeichnet die Kriminalstatistik in Deutschland nur zwischen 5.500 und 7.000 Anzeigen, die wahlweise unter „Wettbewerbsdelikte“ oder „Ausspähen von Daten“ von der Polizei registriert werden. Und er zitiert Burkhard Freier, Präsident des nordrhein-westfälischen Landesamts für Verfassungsschutz, der behauptet, dass alleine in NRW 370.000 Unternehmen bereits Ziel von Wirtschaftsspionage geworden sind, wobei über 50 Prozent auf das Konto Chinas und Russlands gehen.
Aber daraus ein ROI zu rechnen, das gelingt auch ihm nicht. Und so flüchtet er sich in eine Auflistung so genannter „weicher“ Faktoren, wie etwa: „…eine mathematische Betrachtungsweise stößt endgültig an ihre Grenzen, wenn wir auch die möglichen Kosten von Reputationsverlusten einberechnen wollen.“ So hat ja auch der Chef von meinem Supermarkt-Manager argumentiert: So lange nichts passiert, wird nicht investiert. Und wenn etwas passiert, ist es ja ohnehin zu spät.
Ich habe Toms Buch mit großem Vergnügen gelesen und empfehle es deshalb auch weiter. Es ist spannend geschrieben, es ist unterhaltsam, informativ und es kitzelt schön die Nerven. Nur löst es nicht das Problem. Das können nur seine Leser tun – wenn sie wirklich wollen. Und wenn nicht, dann sind sie selber schuld – und sonst niemand…