Etwa 1100 neue Computer-Schadprogramme entdecken die Spezialisten des IT-Sicherheitsunternehmens Kaspersky in den fünf Minuten, die man für die Lektüre dieses Artikels braucht. Also etwa eine Attacke, ein Trojaner oder ein Virus pro Wort. Täglich prasseln 315 000 solcher Programme auf die Computernetzwerke von Firmen und Privaten. Viele lassen sich über Firewalls und Viren-Schutzprogramme abfiltern.

Aber gegen einige Attacken sind Firmen und Private machtlos. Es sind die gezielten Spionageangriffe auf Unternehmen und staatliche Einrichtungen. «Davon ist auch die Schweiz betroffen, da gerade hier sehr viele Spitzenunternehmen ansässig sind, die über Know-how oder Informationen mit grossem Wert verfügen», heisst es im jüngsten Bericht der Melde- und Analysestelle Informationssicherung des Bundes (Melani).

«Es gibt einzelne Fälle, bei denen das bereits 2001 angefangen hatte», sagt Joshua Ray, IT-Security-Experte bei Verisign, einem US-IT-Sicherheitsunternehmen, «und es gibt noch einen weiteren Unterschied zu den gängigen Attacken: Es sind teilweise sehr grosse Operationen, die sich über viele Jahre erstrecken.» Und die Dunkelziffer ist hoch – Experten gehen gerade einmal von einer Entdeckungsquote von einem Prozent aus.

Schwierige Tätersuche

«Bemerkt wird der Verlust oft erst, wenn die Versuche scheitern bzw. wenn entsprechende Konkurrenzprodukte oder Dienste auftauchen», sagt Hannes Lubich, auf Informationssicherheit spezialisierter Professor an der Fachhochschule Nordwestschweiz, «jedoch ist die Beweisführung, dass hier wirklich Diebstahl vorliegt, im konkreten Fall recht aufwendig.»

Zunehmend kommen deshalb Privatfirmen ins Spiel. Das aufstrebende Fachgebiet heisst «Economic Crime Intelligence», «elektronische Verbrechensaufklärung». «Economic Crime Intelligence ist eine mögliche Antwort, eine Untersuchung durch externe Spezialisten mit entsprechend breitem technischem, organisatorischem und rechtlichem Hintergrundwissen durchführen zu lassen und damit das Sicherheitsdispositiv der Firma zu ergänzen – insbesondere angesichts der wachsenden Professionalisierung der Angreifer», sagt Lubich weiter. «Gerade KMU, welche den Verlust geistigen Eigentums schwerer kompensieren können als Grossfirmen, könnten durchaus profitieren.»

In diesem Bereich arbeiten neben spezialisierten Anbietern auch die vier grossen Buchprüfer Deloitte, PwC, Ernst & Young sowie KPMG. Spezialisten in diesen «privaten Nachrichtendiensten» beschaffen die Entscheidungsgrundlagen, sie machen Bedrohungsanalysen und zeigen auch, wie sich Firmen schützen können. «Wir tun das immer im Rahmen der Gesetze», betonen Branchenvertreter, «wir nutzen dabei immer die sogenannten Open-Source-Quellen, die allen zugänglich sind. Aber im Gegensatz zu den staatlichen Stellen können wir grenzüberschreitend und global auftreten.»

Auch deshalb nehmen schweizerische Regierungsstellen diese Dienste gelegentlich für Ermittlungsarbeiten in Anspruch. Bei einem schweizerischen Spezialisten machen die Staatsaufträge rund die Hälfte des ganzen Auftragsvolumens aus, wie es heisst. Zu den Aufträgen gehören sowohl «Ethical Hacking», bei dem Sicherheitsmassnahmen getestet werden, als auch Ermittlungsarbeiten.

Fliessende Grenzen

Firmen sehen sich heute nicht nur durch Datendiebstahl bedroht. Geschäftsleitungssitzungs- und Verwaltungsratssitzungsprotokolle tauchen in Firmennetzen oft an Orten auf, wo solche sensible Dokumente nicht hingehören. Mit Cloud-E-Mail-Diensten eröffnet sich ein weiteres Feld, wo Kriminelle und fremde Staaten Informationen absaugen können. Firmen verlieren Informationen aber auch aufgrund nachlässiger Mitarbeiter und durch organisierte Wirtschaftskriminalität. Die Hinterleute von Geldwäscherei aufzudecken, ist ein Dauerbrenner, wo sich die Aufklärungsarbeiten auf die Transaktionskette sowie die Hintergründe von Zwischenstationen und Endstationen der Geldtransfers konzentrieren. «Generell werden auch aus regulatorischen Gründen diese Hintergrund-Checks immer wichtiger», sagt ein Experte, «denn diese kommen beim Einstellen eines Angestellten genauso ins Spiel wie vor einer Vertragsunterzeichnung mit einem neuen Geschäftspartner oder Kunden.»

Unklare Ursprünge

Im Verdacht, aktiv Wirtschaftsspionage über das Eindringen in Firmencomputer zu betreiben, steht traditionell China. Das Land konzentriert sich bei seiner Wirtschaftsspionage auf Hightech und Pharma. «Technologisch sind indes lediglich die USA und Israel in der Lage, in grossem Ausmass zielgerichtete Attacken vorzunehmen, die dann auch weitgehend unbemerkt bleiben», sagen Spezialisten. Bevor Edward Snowden, der NSA-Whistleblower, ausgepackt hatte, sammelten die US-Geheimdienste jahrelang praktisch unbemerkt unzählige Daten über alle möglichen Quellen. Der CIA hatte lange Zeit die Branchen Banken, Pharma und Nanotech als Ziele ihrer Aktivitäten auf der eigenen Webseite genannt. Ungeklärt ist in vielen Fällen die genaue Herkunft von Daten, mit denen US-Steuersünder gefunden wurden. Möglicherweise wurden die entscheidenden Daten über die Server der Interbanken-Clearingorganisation Swift abgefangen, wie Spezialisten vermuten. Und die speziellen Schadprogramme, welche die Uran-Zentrifugen in den iranischen Atomanlagen teilweise unbrauchbar gemacht hatten, blieben ebenfalls lange unentdeckt.

Höhe Fertigkeiten gibt es auch in Osteuropa. «Die technische Universität von Bukarest ist eine Hochburg der Internet-Kriminellen», sagt ein Fachmann. Hier gehört es praktisch zur Informatik-Ausbildung, ein Schadprogramm während des Studiums zu entwickeln. «Die Frage der Studenten untereinander ist dann: Welches Schadprogramm hält sich am längsten unentdeckt oder für welches wird ein Anti-Viren-Programm entwickelt, um es unschädlich zu machen», sagt der Experte. Virenschreiben ist in vielen Ländern kein Straftatbestand.

Programmierer ohne Privatleben

Regierungsstellen und Firmen umwerben dann solche Informatiker. Unter den potenziellen Arbeitgebern sind staatliche Geheimdienste genauso wie kriminelle Firmen. «Die sitzen dann irgendwo, teilweise auch völlig unerkannt, teilweise in Firmen, welche für westliche Unternehmen im Rahmen von Outsourcing-Verträgen IT-Arbeiten vornehmen», beschreibt eine Person das Umfeld. «Auffällig sind sie oft aufgrund ihres besonders zurückgezogenen Privatlebens.» Sie arbeiten zu Hause oder auf den Uni-Computern und sie machen teilweise nur kleine Programmierarbeiten, ohne den ganzen Überblick zu haben. «Oft wissen sie nicht einmal, wozu am Ende der ganze Code gut sein soll und wer sie letztendlich bezahlt», so der Experte.

Dennoch fallen sie auf – und das wiederum dank den Ergebnissen nachrichtendienstlicher Nachforschungen: Bei einigen passen Einnahmen und Ausgaben nicht zum übrigen Lebensstil. «Und alle haben irgendwo eine Schwachstelle, mit der sie erpressbar sind, wie Geld, Alkohol oder Frauen», sagt ein Experte.

Nur schon ein gewisses Sicherheitsniveau zu halten, gilt als Wettlauf. «Man muss von den Angriffen lernen, sehr schnell reagieren und die Malware auch auseinandernehmen», sagt ein Fachmann. «Denn die Attacken werden immer schwerer zu entdecken. Und wer ganz auf Nummer sicher gehen will, muss bestimmte Computer einfach ganz vom Netz nehmen.»