Der Verfassungsschützer trägt Anzug, weißes Hemd und verzichtet auf eine Krawatte. Michael George, Jahrgang 1968, wendet sich, was für sein Gewerbe unüblich ist, gerne auch beherzt an die Öffentlichkeit. Er hat ein viel diskutiertes Buch geschrieben. Es trägt den einprägsamen Titel „Geh@ckt. Ein Agent berichtet“. Der Rowohlt-Verlag gibt einiges über den Geheimnisträger preis: Seit seiner Ausbildung beim Bundesnachrichtendienst war George demnach in verschiedenen Funktionen bei deutschen Nachrichtendiensten tätig. Dann kam er zur Spionageabwehr des Bayerischen Landesamtes für Verfassungsschutz und unterstützt Firmen wie Behörden bei der Abwehr elektronischer Angriffe.
Verfassungsschutz berät Opfer von Hacker-Angriffen
Der Experte für Cyber-Kriminalität sitzt auf dem Podium einer Veranstaltung im Münchner Hotel Mandarin Oriental. Die Diskussionsrunde dreht sich um die Frage, wie sich Unternehmen besser vor Kriminellen, die aus dem weltweiten Datennetz zuschlagen, schützen können. George spricht in Bildern und hat Humor. So vergleicht er den Moment, wenn sich ein Angreifer illegal Zugang zu Daten einer Firma verschafft, mit einer Szene vor einem Zaun. In der Metaphorik des Verfassungsschützers hat das Unternehmen allen Ehrgeiz darangesetzt, einen möglichst hohen Schutzzaun zu bauen. Seine IT-Spezialisten laufen nun auf und ab vor dieser Wand. Die Hacker hingegen haben vor allem die Maschen im Blick, durch die sie eindringen können – eine Strategie, die mehr Erfolg verspricht als das hektische Auf- und Abschreiten vor hohen Zäunen.
Einer von Georges witzigen und leicht nachvollziehbaren Ratschlägen an Unternehmer lautet: „Es bringt wenig, Sicherheits-Mauern möglichst hoch zu ziehen. Dann holen sich Angreifer eben eine Leiter, die noch höher ist.“ Der Experte ist Leiter des Cyber-Allianz-Zentrums im Bayerischen Landesamt für Verfassungsschutz. An die Einrichtung können sich Firmeninhaber vertraulich wenden. „Vielen ist es aber unendlich peinlich, wenn sie Opfer einer Attacke aus dem Netz geworden sind“, erlebt der Spezialist immer wieder in seinem Berater-Alltag. Dass sich manche Unternehmer schämen, wirkt verständlich. Denn sie müssen einräumen, viel zu wenig für IT-Sicherheit ausgegeben und das Thema nicht zur Chefsache gemacht zu haben.
Jedes zweite Unternehmen wurde 2017 von Hackern angegriffen
Dabei wurde nach Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik in den vergangenen Jahren jedes zweite Unternehmen Nach einer anderen Studie sieht sich nur knapp jede zweite deutsche Firma gut oder sehr gut gegen klassische Angriffe auf die IT-Infrastruktur geschützt. Die Umfrage wurde im Vorfeld des von 20. bis 22. September in der Landeshauptstadt stattfindenden Spitzentreffens „Command Control“ der Messe München zum Thema Cyber-Sicherheit in Auftrag gegeben. Bei der Veranstaltung wird unter anderem der bekannte Experte Eugene Kaspersky, Mitbegründer des gleichnamigen russischen IT-Sicherheitsunternehmens auftreten. Im Rahmen des Forums sollen Unternehmen für das Thema sensibilisiert werden.
Verfassungsschützer George will keine Panik verbreiten. Er weist aber darauf hin, dass natürlich auch ausländische Nachrichtendienste Firmen in Bayern ausspähen. Der Experte nennt keine Namen. An seinem nun ernsten Gesichtsausdruck lässt sich jedoch ablesen, dass hier immer wieder einiges an Arbeit auf ihn und seine Kollegen zukommt.
Viele Firmen sind schlecht auf Cyber-Angriffe vorbereitet
Und wie muss man sich nun so einen Cyber-Kriminellen vorstellen? Der Verfassungsschützer erlebt in der Praxis nicht so sehr einsame Wölfe, die in IT-Netze eindringen: „Hier gibt es vielmehr lose Gruppen, die organisiert vorgehen.“ Die Kriminellen teilen sich die Arbeit je nach Qualifikation auf: Einige programmieren, andere können gut schreiben und verfassen Texte. Oft werden Firmeninhaber ja erpresst.
Was dabei aus Sicht Georges erschreckend ist: „Manche IT-Systeme ähneln Wasserleitungen, bei denen Pflaster auf Schadstellen geklebt werden.“ Doch aus seiner Sicht reicht es nicht aus, wenn Firmen, was die Sicherheit betrifft, nur massiv mit den neuesten Systemen aufrüsten. Wichtig sei es vielmehr auch, die Sinne der Beschäftigten für das Thema zu schärfen: Denn oft stelle eben der von einem Menschen bediente Computer das Einfallstor für Cyber-Kriminellen dar. Dabei rät George Firmen pragmatisch und durchaus humorvoll: „Man muss sich nicht so schützen, dass Angreifer gar nicht mehr durchkommen, aber man muss sich besser schützen als die Konkurrenz.“
Unternehmer können sich nicht nur an das Cyber-Allianz-Zentrum in München wenden. Auch in Augsburg ist an der Hochschule eine solche Einrichtung gegen Attacken aus dem Netz entstanden. Das Sicherheitszentrum („HSA_innos“) soll vor allem mittelständischen Produktionsbetrieben helfen, sich besser gegen Hacker und Erpressungsversuche aus dem Netz zu wappnen. Aktuell arbeiten in