Stellungnahme Wirtschaftsspionage Anhörung A I. Situationsanalyse

Transkript

1 I. Situationsanalyse 1. Welche Dienste, Staaten und Unternehmen betreiben in welchem Umfang Wirtschafts- und Industriespionage in NRW? Das Innenministerium Nordrhein-Westfalen hat in Vorträgen, gehalten von Vertretern der Abteilung Verfassungsschutz, Wirtschaftsspionage in der Vergangenheit mehrfach darauf hingewiesen, dass zahlreiche Staaten Wirtschaftsspionage betreiben. Eine Angabe, wer Spionage betreibt kann sicherlich die genannte Abteilung im Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen konkret mitteilen. 2. Ist die Sorge vor Wirtschaftsspionage durch befreundete Staaten begründet? Das Innenministerium Nordrhein-Westfalen hat in der Vergangenheit mehrfach darauf hingewiesen, dass nicht nur Staaten wie China oder Russland, sondern auch Staaten wie z.b. Großbritannien oder die USA nach eigenen Gesetzen die rechtliche Möglichkeit haben, Wirtschaftsspionage zu betreiben. 3. Wie hoch ist der jährliche wirtschaftliche Schaden durch Wirtschafts- und Industriespionage in NRW? Jedes dritte Unternehmen wurde bereits Opfer eines Spionageversuchs, das sind in NRW ca Unternehmen (Quelle: Corporate Trust 2007). Hauptziel sind dabei vor allem die kleinen und mittelständischen Unternehmen. Inzwischen belegen neue Untersuchungen, dass statistisch gesehen sogar jedes zweite Unternehmen angegriffen wurde (vgl. Verfassungsschutzbericht NRW 2012) Aktuelle Zahlen kann sicherlich das Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen oder das Landeskriminalamt NRW liefern. 4. Welche Informationen werden nachrichtendienstlich abgeschöpft In den Fällen von Wirtschaftsspionage geht es um die Know-how Ausspähung und die Ausspähung sensibler Daten wie bei Produkten (Fotos, Konstruktionspläne, Rezepturen), Dienstleistungen (Strategien, Organisation, Logistik), aber auch Kunden- und Zulieferdaten sowie Kalkulationen. 5. Welcher Methoden wird sich hier bedient? Das Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen untergliedert die Methoden der Wirtschaftsspionage in offene und in konspirative Beschaffung. Eine offene Beschaffung sind die Auswertung offener Quellen, die Gesprächsabschöpfung sowie die Teilnahme am Wirtschaftsleben. Die konspirative Beschaffung erfolgt z.b. durch den Einsatz menschlicher Quellen oder den Einsatz technischer Mittel. Spionage erfolgt durch das Abhören der Sprach- und Datenkommunikation. Die Sicherheitslücke ist dabei nicht der Mensch, sondern sein oft geringes Schutzverhalten gegen Angriffe. Es wird die IT zur Spionage genutzt, z.b. durch Schadsoftware als Anhang einer (spezifizierter Trojaner), durch USB-Sticks, Key-Logger, illegalen Zugriff auf Notebooks, Soziale Netzwerke oder Social Engineering. 6. Was tut das Land NRW, um die Firmen im Land und damit den Wirtschaftsstandort zu schützen? Der Verfassungsschutz NRW gibt durch Sensibilisierungsvorträge Hilfestellungen. Im Jahr 2012 hielten Mitarbeiterinnen und Mitarbeiter des Verfassungsschutzes NRW 210 Vorträge vor ca Multiplikatoren, davon wurden 30 Vorträge bei Industrie- und Handelskammern sowie größeren Unternehmerverbänden gehalten (Info aus dem Verfassungsschutzbericht NRW 2012). Seite 1 von 5

2 Es besteht die Sicherheitspartnerschaft NRW, einer Zusammenarbeit des Ministeriums für Inneres und Kommunales des Landes Nordrhein-Westfalen (Abteilung für Verfassungsschutz und Polizeiabteilung), des Ministeriums für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen, des Verbands für Sicherheit in der Wirtschaft Nordrhein- Westfalen e.v. und der Industrie- und Handelskammern in Nordrhein-Westfalen e.v. als Präventionsarbeit zum Schutz der Unternehmen in NRW. Weiterhin wurde ein besonderes Aktionsprogramm mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorbereitet, in welchem die Sicherheitspartnerschaft NRW die Allianz für Cyber-Sicherheit des BSI zugunsten nordrhein-westfälischer Unternehmen unterstützt. Das Land NRW unterstützt im Zeitraum durch Fördermittel des Landes und der EU das Projekt nrw.units. Um den Schutz von Firmengeheimnissen, Privatsphäre und Infrastrukturen zu gewährleisten, hat sich nrw-units zur Aufgabe gemacht, in Nordrhein- Westfalen die Branche der IT-Sicherheit optimal zu vernetzen, Synergiepotenziale aufzudecken und diese zu nutzen. Partner sind hier das Horst-Görtz-Institut an der Ruhruniversität Bochum, der eco Verband der Deutschen Internetwirtschaft und der networker NRW. 7. Wie ist die Aufklärungsquote? keine eigenen Angaben möglich 8. Welche Wirtschaftsbranchen sind in besonderem Maße auf politische Hilfe gegen Wirtschaftsspionage angewiesen? Es sind all die Branchen gefährdet, in denen Unternehmen Innovation betreiben und sich in einem internationalen Markt bewegen. 9. Haben die Unternehmen in NRW ein ausreichendes Problembewusstsein? Nach den bisher gemachten Erfahrungen des networker NRW in den letzten Jahren haben immer noch sehr viele Unternehmen in Nordrhein-Westfalen kein ausreichendes Problembewusstsein. II. Verbesserungsmöglichkeiten 10. Welche Maßnahmen sollten a) Unternehmen und b) Politik ergreifen, um Wirtschaftsspionage einzudämmen? Welche zusätzlichen Bemühungen sollte die Landespolitik in diesem Bereich kurz- und langfristig unternehmen? a) Unternehmen müssen sich aus eigenem Antrieb heraus stärker vor Wirtschaftsspionage schützen. Dies muss zum einen im technischen Bereich erfolgen, aber auch in der Sensibilisierung der eigenen Mitarbeiter. Sehr häufig wird beim Umgang mit Information in den Unternehmen sehr fahrlässig umgegangen. b) Die Politik sollten das bereits für den Zeitraum geförderte Subcluster IT- Sicherheit (Projektname: nrw.units) in Nordrhein-Westfalen auch weiter unterstützen. Um den Schutz von Firmengeheimnissen, Privatsphäre und Infrastrukturen zu gewährleisten, hat es sich nrw-units zur Aufgabe gemacht, in Nordrhein-Westfalen die noch junge Branche der IT-Sicherheit optimal zu vernetzen, Synergiepotenziale aufzudecken und diese auch zu nutzen (mehr Informationen unter Ergänzend: Wie müsste die Zusammenarbeit zwischen Staat (z.b. Verfassungsschutz, Zoll) und den Unternehmen gestaltet werden, um Wirtschaftsspionage effektiv abwehren zu können? Die Abwehr von Wirtschaftsspionage ist primär ein Thema um das sich Unternehmen im Zuge ihres Risiko Managements kümmern müssen. Staat und Verfassungsschutz sollten die Seite 2 von 5

3 Unternehmen aber nicht nur informieren, sondern auf Anfrage auch beraten und den Unternehmen gegebenenfalls Werkzeuge zur Spionageabwehr zur Verfügung stellen. Eine aktive Rolle des Staates in Form von Schutz von Unternehmen durch Einheiten wie dem Verfassungsschutz gefährden die Demokratie (vgl. NSA in den USA). 12. Halten Sie die im Antrag aufgeführten Forderungen an die Bundesregierung für ausreichend? Wenn nein, welche Maßnahmen sollten noch auf Bundesebene ergriffen werden, um die Unternehmen in Deutschland besser zu schützen? Die in der Drucksache 16/3434 aufgeführten Forderungen an die Bundesregierung sind ein Anfang. Besonders die unter III. 3 b. und c. angegebenen Forderungen sollten unterstützt werden. Weitere Maßnahmen können sein: a) Aufhebung des Safe Harbour Abkommen (USA, Australien, Neuseeland) b) Umsetzung des vorliegenden Entwurfs der Europäischen Datenschutzrichtlinie c) Aussetzen des Freihandelsabkommen mit den USA 13. Sind Sie der Auffassung, dass die Aktivitäten deutscher Behörden zur Abwehr von Wirtschaftsspionage auf den verschiedenen politischen Ebenen ausreichend koordiniert sind? Brauchen wir eine nationale Sicherheitsstrategie, wie sie etwa der Präsident des Bundesverbandes der Deutschen Industrie (BDI), Ulrich Grillo, forderte? Die Erfahrungen auch in anderen Bereichen haben gezeigt, dass eine gewisse Koordination der verschiedenen Behörden und Einrichtungen sinnvoll ist. Es wäre zu begrüßen, wenn es eine nationale Sicherheitsstrategie in Deutschland gibt, die von einer großen politischen und wirtschaftlichen Unterstützung getragen wird. 14. Wie bewerten Sie die Zusammenarbeit Institutionen mit den Unternehmen zum Thema Wirtschaftsspionage? In Nordrhein-Westfalen gibt es schon verschiedene Projekte, in denen Institutionen und Unternehmen zusammenarbeiten. Sinnvoll aus Sicht des networker NRW wären eine engere Abstimmung sowie eine stärkere Forcierung des Themas durch Multiplikatoren wie IHKs, Wirtschaftsförderungen und Verbände. nrw.units sowie der networker NRW könnte die engere Abstimmung künftig koordinieren. 15. Welche Aufklärungsangebote sind bereits heute vorhanden oder sind vorstellbar, um die Unternehmen bzw. die MitarbeiterInnen von potentiell betroffenen Unternehmen zu sensibilisieren? Es gibt Informationsveranstaltungen, die zu diesem Thema sensibilisieren. Das Ministerium für Inneres und Kommunales in Nordrhein-Westfalen oder das Landeskriminalamt Nordrhein- Westfalen stellen z.b. auf Anfrage kostenfrei Referenten. Das Angebot wird von IHKs, Wirtschaftsförderungen und Verbänden bei eigenen Veranstaltungen für Vertreter vor allem aus kleinen und mittelständischen Unternehmen genutzt. Es sind Awareness Programme in den Unternehmen einzurichten, regelmäßige Hinweise zu geben und Belehrungswiederholungen zum Umgang mit sensiblen Daten durchzuführen. Vorhanden sind bereits Roadshows wie die des networker NRW zu dem Thema, die aber auszubauen sind, Fachkongresse zum Thema Informationssicherheit und IT-Sicherheit sind durch das Land und die Multiplikatoren intensiver zu kommunizieren. In Netzwerken wie nrw.units und Verbänden wie dem networker NRW sind zahlreiche Unternehmen, die sich auf das Thema der IT-Sicherheit und somit auch dem Verhindern von Spionage spezialisiert haben. Die bis Ende 2008 aktive Landesinitiative secure-it.nrw hatte Informationsbroschüren erstellt, die Unternehmen und Schulen zur Verfügung gestellt wurden. Das Projekt nrw.units greift diese Möglichkeiten auf, benötigt aber Unterstützung in der weiteren Umsetzung. Seite 3 von 5

4 Grundsätzlich müssen die Unternehmen mehr Eigenverantwortung übernehmen, Partner die helfen sind vorhanden. 16. Sind Sie der Meinung, dass es eine gesetzliche Verpflichtung für Unternehmen geben sollte, elektronische Angriffe an eine staatliche Zentralstelle zu melden? Der networker NRW hält es für wichtiger, Unternehmen noch stärker zur Umsetzung von Informations-, Organisations- und IT-Sicherheitsmaßnahmen zu verpflichten. So wie heute ein Datenschutzbeauftragter in Unternehmen bestellt werden muss könnte dies künftig auch für einen CISO, also einen Informations- und IT-Sicherheitsverantwortlichen gelten. 17. Nach Informationen des Whistleblowers Edward Snowden haben sich US-Geheimdienste Zugriff auf die (Kunden-)Daten US-amerikanischer Internet- und Softwareunternehmen verschafft. Auch Verschlüsselungsdienste sollen betroffen sein. Zum Teil geschieht dies über eine (erzwungene) Kooperation mit den Unternehmen. Wie bewerten Sie vor diesem Hintergrund den Einsatz von IT-Produkten US-amerikanischer Anbieter? Bitte gehen Sie jeweils gesondert auf (a) Hardware (Router etc.), (b) Sicherheits- und Systemsoftware (Betriebssysteme, Antivirenprogramme) sowie (c) Cloud- und Internetdienste (Cloud-Storage, -Provider etc.) US-amerikanischer Anbieter ein. Der networker NRW bietet keine Dienstleistung oder Produkte in den genannten Bereichen an, dies machen die Mitgliedsunternehmen. Eine Detailinformation kann somit als Netzwerk nicht gegeben werden. Grundsätzlich ist aber derzeit zu hinterfragen, ob US-amerikanische Produkte von Unternehmen genutzt werden sollen, die mit den US-Geheimdiensten zusammenarbeiten (müssen). 18. Welche technischen Standards zur Gewährleistung der Sicherheit vor Wirtschaftsspionage sind denkbar? keine eigenen Angaben möglich 19. Wie bewerten Sie die Chancen für die deutsche IT-Wirtschaft bezüglich eines Datenschutzes Made in Germany? Die Chancen für einen Datenschutz Made in Germany bestehen und werden von uns als grundsätzlich denkbar gesehen. Es gibt zahlreiche Unternehmen in Deutschland und in Nordrhein-Westfalen, die eigene Produkte anbieten. Aufgrund der engen Zusammenarbeit in Europa müsste der Datenschutz aber auf den Bereich der EU erweitert werden. Es besteht aber die Gefahr, dass ein Datenschutz Made in Germany durch bundespolitische Entwicklungen wie Vorratsdatenspeicherung oder keine durchgehende Verschlüsselung im Standard bei D kein dauerhaftes positives Qualitätssiegel wäre. 20. Wie bewerten Sie den Vorschlag, eine eigene europäische bzw. deutsche Infrastruktur für Datennetze aufzubauen bzw. durch entsprechende Routing dafür zu sorgen, dass Datenpakete nur innerhalb eines bestimmten geographischen Raumes versandt werden (so etwa der Plan des sogenannten Schengen-Routing ), um deutsche Unternehmen vor Abhörmaßnahmen ausländischer Geheimdienste zu schützen? Eine Unabhängigkeit von fremden Datennetzen wäre grundsätzlich zu begrüßen. Eine eigene europäische bzw. deutsche Infrastruktur (also ein euro-internet ) ist in Zeiten der Globalisierung aber nicht realistisch. Zudem kommuniziert man auch mit nicht-europäischen Partnern und ist nicht geschützt vor dem Abhören durch europäische Dienste oder dem Abhören von außereuropäischen Diensten, die von europäischem Boden aus agieren. Seite 4 von 5

5 21. Als Edward Snowden Zugriff auf die jetzt veröffentlichten Geheimdokumente hatte, war er nicht bei der NSA direkt, sondern bei einem privatwirtschaftlichen Unternehmen angestellt, das als Dienstleister für die NSA arbeitet. Wie schätzen Sie die Gefahr ein, dass solche Unternehmen, die als NSA-Dienstleister Zugriff auf die NSA-Überwachungstechnologie besitzen, wirtschaftlich bedeutende Informationen anderen US-amerikanischen Unternehmen zur Verfügung stellen bzw. verkaufen könnten? Wie schätzen Sie weiterhin die Gefahr ein, dass Mitarbeiter solcher NSA-Dienstleister, die wie Edward Snowden Zugriff auf die NSA- Überwachungstechnologie besitzen, wirtschaftlich bedeutende Informationen auf eigene Rechnung verkaufen könnten? Es ist Fakt, dass verschiedene Nationen Wirtschaftsspionage betreiben. Diese Informationen werden von diesen Nationen an eigene Wirtschaftsunternehmen weitergeleitet, sei es durch private beauftragte Unternehmen, durch Mitarbeiter der beauftragten Unternehmen oder den Geheimdienst selbst. Je komplexer Strukturen sind und je mehr Beteiligte, seien es Unternehmen, Institution oder einzelne Menschen, in Aktivitäten eingebunden sind, desto größer ist die Gefahr, dass wirtschaftlich bedeutende Informationen auf eigene Rechnung verwertet werden könnte. Die Gefahr wird daher, gerade in Anbetracht des oft erheblichen wirtschaftlichen Wertes der Informationen als sehr groß eingeschätzt. Seite 5 von 5