Reaktionen auf Sanktionen: Welche Bedrohungen für deutsche Unternehmen möglich sind
KOMMENTAR. Reinhard Rupprecht, Ministerialdirektor a.D., erläutert die aus seiner Sicht möglichen Gefahren der Russlandsanktionen für die deutsche Wirtschaft.
Die Hoffnung ist, dass sich der Konflikt in der Ukraine möglichst bald löst und alle Seiten Kompromissbereitschaft im Sinne einer gemeinsamen Lösung für eine friedlichen Koexistenz zeigen. Bis dahin jedoch muss auch an Sicherheitsvorkehrungen für Unternehmen gedacht werden.
Die gegen russische Kriegsakteure und gegen Unternehmen verhängten Sanktionen werden auch der russischen Wirtschaft und der Versorgungslage erhebliche Schäden zufügen. Es ist sicher völlig ungewiss, ob sie Präsident Putin zu einem Umdenken und Einlenken bewegen. Aber es scheint auf der Hand zu liegen, dass Sicherheits- und Nachrichtendienste als Reaktion auf die Sanktionen versuchen könnten, die Wirtschaft der Staaten anzugehen, die sich an den Sanktionen beteiligen. Und es ist nicht ausgeschlossen, dass versucht wird, das Know-how, das die Dienste aufgrund der Sanktionen nicht mehr legal bekommen können, auf andere Weise auszuforschen.
1. Cyberattacken
Mutmaßlich russische Hackergruppen hätten Erkenntnissen von Experten zufolge schon in den vergangenen Jahren Cyberattacken gegen deutsche staatliche Institutionen, Unternehmen, Wissenschafts- und Forschungseinrichtungen durchgeführt. Diese seien zumindest im Interesse der russischen Staatsführung, wenn nicht sogar im Auftrag der Nachrichtendienste, also des Inlandsnachrichtendienstes FWB, des Auslandsnachrichtendienstes SWR und des militärischen Auslandsnachrichtendienstes GRU, tätig. Vor allem APT (Advanced Persistent Threat)-Gruppen seien seit mehreren Jahren weltweit aktiv und führten Spionageangriffe wie auch Desinformations- und Propagandakampagnen im Cyberraum durch, wie das BfV im Verfassungsschutzbericht 2020 darlegt. Der Cyberkrieg zwischen Russland und der Ukraine sei bereits im vollen Gange. Schon seit der Invasion der Krim 2014 werden, so die Einschätzungen, Cyberangriffe auf ukrainische IT-Systeme auf russische Nachrichtendienste zurückgeführt. Jetzt hat der ukrainische Digitalminister zur Bildung einer IT-Army aufgerufen, die technische Infrastrukturen Russlands angreifen und ausschalten soll.
Je stärker die russische Wirtschaft unter den harten Sanktionen der westlichen Staaten als Reaktion auf den Krieg gegen die Ukraine leidet, umso mehr muss mit Cyberangriffen gegen westliche Staaten, ihre Regierungen und ihre Wirtschaft mindestens gerechnet werden. Deutschland könnte eines der Hauptziele solcher Cyberattacken werden, weil seine Beziehungen sowohl zur russischen Regierung wie im Wirtschafts- und Wissenschaftsbereich stärker waren als die vieler anderer Staaten – und weil Deutschland zu den Hauptabnehmern von Gas-, Öl- und Kohlelieferungen gehörte.
Die Aussetzung des Genehmigungsverfahrens für Nord Stream 2 und die Absicht der Bundesregierung, mittel- und langfristig die Energielieferungen aus Russland immer stärker zu reduzieren, wird das Interesse der russischen Staatsführung an der Aufklärung über die Vorbereitung und Durchführbarkeit dieses Kurswechsels erhöhen. Ebenso plausibel ist das Motiv, deutsche Unternehmen durch Cyberattacken dafür zu bestrafen, dass diese sich aus Russland derzeit weitgehend zurückziehen. Die deutsche Industrie hatte traditionell enge Beziehungen zur russischen Wirtschaft und hat dort mehr in Großprojekte investiert als andere Länder, Tochterunternehmen gegründet und produziert. Hackergruppen wie ATP 28 und 29 könnten zudem versuchen, Forschungsergebnisse und technologisches Know how auszuspähen. Das BSI sieht nach der Pressemitteilung vom 7. März eine abstrakt erhöhte Bedrohungslage für Deutschland. Aktuell sei jedoch keine akute unmittelbare Gefährdung der Informationssicherheit für Unternehmen in Deutschland ersichtlich. Auch Bitkom sieht keinen Grund zur Panik, aber im deutschen Cyberraum sei volle Aufmerksamkeit und größtmögliche Wachsamkeit aller Unternehmen geboten.
Zu rechnen ist vor allem mit folgenden Angriffsmethoden: Ausnutzung von erkannten Schwachstellen in IT-Systemen der Provider von Betriebssystemen, Software-Entwicklern, Netz- und Plattformbetreibern, gezielte Versendung von Emails mit Schadanhang (sogenanntes Spear Phishing) an ausgesuchte Unternehmen von besonderem Interesse und deren Manager im Rahmen von Social-Engineering-Operationen und Umleitung von an bestimmten Webseiten interessierte Nutzer auf infizierte Webserver. Darüber hinaus dürfte es vermehrt zu Ransomware-Angriffen kommen, bei denen die Täter Daten und ganze IT-Systeme verschlüsseln, so dass Informations- und Produktionssysteme ausfallen. Diese werden nach Erkenntnissen des BSI vor allem auf finanzstarke Unternehmen verübt („Big Hunting“), weil dann höhere Lösegeldforderungen zum Erfolg führen können. Zu rechnen ist ebenfalls mit DDoS-Angriffen von Nachrichtendiensten, um IT- und Kommunikationssysteme lahmzulegen. Es ist davon auszugehen, dass sich Cyberattacken auf kritische Infrastrukturen fokussieren, weil diese für die Daseinsfürsorge der Bevölkerung von besonderer Bedeutung sind und ihr zunehmender Ausfall wohl nach der Überzeugung der Angreifer zu einer Veränderung der Haltung zu den verhängten Sanktionen führen könnte. Insbesondere ist mit Sabotageaktionen auf OT/IT-Steuerungssysteme zu rechnen.
Die Möglichkeit solcher bedrohlichen Cyberangriffe muss die deutsche Wirtschaft veranlassen, auf IT-Sicherheit noch größeren Wert zu legen. Auch KMU, sprich kleine und mittlere Unternehmen, die bisher oft kein ausreichendes Cyber-Risikobewusstsein entfalten und nicht immer über ausreichende finanzielle und personelle Ressourcen verfügen, aber wegen ihrer technologischen Kompetenzen ein besonders lohnendes Ausspähungsziel bilden, sollten ihre Anstrengungen zu mehr IT-Sicherheit für ihre „Kronjuwelen“ erhöhen. Im Vordergrund der notwendigen Abwehrmaßnahmen steht die Sensibilisierung der Mitarbeiter vor allem für Phishing-Attacken und Social Engineering, der Schutz des Unternehmensnetzwerks durch sofortige Nutzung der bei erkannten Sicherheitslücken vom Hersteller zur Verfügung gestellten Patches, permanente Übertragung der gespeicherten Daten auf ein vom Unternehmensnetzwerk getrenntes Backup-System und eine starke Verschlüsselung der Kommunikation sensibler Informationen.
Der vom BSI ständig fortentwickelte Grundschutz sollte Richtschnur aller Sicherheitsvorkehrungen sein. Umfassende Beratung für notwendige und angemessene Schutzvorkehrungen bekommen Unternehmen von Wirtschaftsverbänden, vor allem Bitkom, von auf IT-Sicherheit spezialisierten Unternehmen, von den polizeilichen Fachdienststellen der Länder und insbesondere vom BSI, das mit der Allianz für Cybersicherheit und deren ca. 5.000 Institutionen die Widerstandsfähigkeit des Wirtschafts- und Wissenschaftsstandorts Deutschland gegen Cyberangriffe stärkt.
Das BSI ruft in der Pressemitteilung vom 7. März die Unternehmen dazu auf, IT-Notfallpläne zu aktualisieren, regelmäßige Back-Ups durchzuführen, IT-Systeme „aktuell zu halten“ und die Mitarbeiter zu sensibilisieren. Das BfV empfiehlt in seinen Sicherheitshinweisen für die Wirtschaft am 23. März, die Domain "dienste-email.eu" zu blocken und alle IT-Sicherheitsmaßnahmen der eskalierenden Entwicklung anzupassen.
2. Spionage
Die Spionagetätigkeit russischer Nachrichtendienste dürfte als Reaktion auf die verhängten Sanktionen über Cyberangriffe hinaus auch durch den Einsatz von Agenten zunehmen, die von den Legalresidenturen diplomatischer und konsularischer Vertretungen Russlands oder direkt aus den Zentralen von FSB, SWR oder GRU heraus geführt werden. Die Ausweisung von 40 russischen Diplomaten als „unerwünschte Personen“ am 4. April wird die Tätigkeit der Legalresidenturen einschränken, aber sicher nicht gänzlich verhindern. Deren Spionagetätigkeit dürfte sich auf die Beschaffung von dringend benötigter Technologie fokussieren - das BfV bezeichnet als besonders gefährdet die Branchen der maritimen Wirtschaft, Luft- und Raumfahrt, Halbleiterproduktion, Werkzeugmaschinen sowie Sicherheits- und Rüstungsindustrie – aber auch auf die Ausspähung der Haltung der Bundesregierung zur weiteren Verschärfung oder Reduzierung von Sanktionen.
Indizien für illegale Beschaffungsaktivitäten könnten sich unter anderem daraus ergeben, dass Namen von Unternehmen oder Personal in auffälliger Weise nicht zum Handelssitz des Unternehmens passen, der (potentielle) Kunde zu weiteren Geschäftskontakten nach Deutschland auffällig verschwiegen ist, dass er eine außergewöhnliche Etikettierung wünscht, untypische Versandwege und Bestimmungsorte angibt, auffallend zurückhaltend ist im Hinblick auf Informationen über den Endverbraucher und auf Einweisungen, Serviceleistungen oder Garantien verzichtet (Sicherheitshinweise des BfV vom 23. März).
Ein weiteres Ausspähungsziel könnten Unternehmen bilden, die sich aus Russland zurückgezogen haben, um nach Möglichkeiten zu suchen, sie zur Rückkehr zu bewegen. Deutsche Unternehmen sollten darüber nachdenken, die Kommunikation mit Niederlassungen in Russland in gewisser Hinsicht zu beschränken und bei bestehenden Kontakten mit russischen Dienststellen oder Partnern auf Abschöpfungsversuche achten. Das gilt insbesondere für die mit der Abwicklung bestehender Geschäftsbeziehungen oder – nach einer Verbesserung der politischen Lage – für die mit der Wiederaufnahme von geschäftlichen Kontakten verbundenen Reisen in das russische Staatsgebiet. Auf solchen Reisen aus zwingenden Gründen mitgeführte Geschäftsunterlagen und elektronischen Endgeräte sind besonders schutzbedürftig.
3. Mögliche physische Angriffe
Bei einer weiteren Zuspitzung der Lage sollten Russlandreisende, deren Reisetätigkeiten wegen der Abwicklung von Geschäftsbeziehungen und Tochtergesellschaften zwingend erforderlich sind, auch die Möglichkeit physischer Angriffe in Betracht ziehen. Anschläge wie im August 2019 in Berlin auf einen georgischen Staatsangehörigen und auf das Leben des Oppositionellen Alexej Nawalny im August 2020 geben Anlass zur Sorge. In jedem Fall sollte vor einer solchen Reise die zuständige diplomatische oder konsularische Vertretung in Russland informiert und während der Reise jeder Anlass zu einer möglichen Kompromittierung vermieden werden.
Soweit deutsche Unternehmen weiterhin Niederlassungen/Tochtergesellschaften in Russland haben, darf deren Schutz vor möglichen physischen Angriffen mit dem Motiv, sich für verhängte Sanktionen zu rächen, nicht vernachlässigt werden. Die russische Regierung hat am 1. März ein Dekret angekündigt, das es ausländischen Investoren vorübergehend verbieten soll, sich von ihren Investitionen in Russland zu trennen. In der Regel werden schon bisher angemessene mechanische und elektronische Sicherheitsvorkehrungen bestehen. Sie sollten jetzt noch einmal überprüft werden.
Ob ein personeller Schutz noch existierender Betriebsgelände durch eigene Mitarbeiter der Niederlassung vor Ort oder ein zuverlässiges lokales Sicherheitsunternehmen möglich und sinnvoll ist, hängt von der Lageentwicklung und den örtlichen Verhältnissen ab. Gleiches gilt für das Sachvermögen stillgelegter Produktionsstätten deutscher Unternehmen. Eine Beratung durch die deutsch-russische Außenhandelskammer in Moskau oder St. Petersburg erscheint jedenfalls angezeigt.
So bleibt die vage Hoffnung, dass alle Seiten in diesem Konflikt möglichst bald aufeinander zugehen und Lösungen für ein friedliches Zusammenleben finden Bis es soweit ist, sollten Sicherheitsmaßnahmen auch in Unternehmen bedacht und organisiert werden.