Die gut getarnte Attacke flog erst in den frühen Morgenstunden auf. Wie jeden Tag wollte der Abteilungsleiter seine elektronische Post durchsehen. Doch irgendetwas stimmte nicht. Die neuen Nachrichten waren zwar da. Aber sie waren nicht mehr fett markiert. Als ob jemand die Mails bereits gelesen hätte. Die Nachrichten betrafen streng vertrauliche Geschäftsvorgänge. «Eine Katastrophe», sagt ein Beteiligter.

Die kurz darauf eingeschalteten Experten der Prüfgesellschaft erkannten den Ernst der Lage sofort. Sie verhängten die totale Datensperre: Kein Internet mehr, kein E-Mail-Verkehr für 250 Mitarbeitende. Die Stimmung im Unternehmen verschlechterte sich rapide, Gerüchte gingen um. Zwei Wochen lang. Dann waren die Computer gesäubert und die Beweislage klar: Die eingeschleusten Programme auf den Computern, welche Tastatureingaben ausspionierten und E-Mails automatisch weiterleiteten, kamen aus dem asiatischen Raum. Ein eigener Mitarbeiter diente den Spionen als Helfer. «Wenn man einmal verseucht ist, bleibt immer ein schlechtes Gefühl», sagt der Leiter der damaligen Ermittlungen.

Egal ob Spionage, Erpressung, Betrug oder Hackerattacken von Sympathisanten der Enthüllungsplattform Wikileaks: Der Schaden für die Firmen geht inzwischen in die Milliarden. Allein letztes Jahr behandelten Schweizer Gerichte eine Deliktsumme von 1,5 Milliarden Franken. Experten schätzen die Dunkelziffer auf ein Vielfaches.

Anzeige

Die Ohnmacht der Gejagten macht es den Tätern leicht. «Schweizer Firmen sind in der Regel schlecht vorbereitet», sagt der Sicherheits-Chef eines Konzerns. «Selbst einzelne Konzerne investieren erst in Sicherheit, wenn es zu spät ist.» Peter R. Bitterli von der Beratungsfirma Bitterli Consulting sagt: «Viele, auch grössere Firmen, betreiben IT-Sicherheit nur pro forma.» Es werde nur so viel gemacht, dass Geschäftsleitung und Verwaltungsrat nicht zur Verantwortung gezogen werden können, falls etwas passiere.

Eine ähnlich verheerende Diagnose stellen ausländische Experten. «Selbst international aufgestellte Schweizer Unternehmen beugen deutlich zu wenig vor und investieren zu wenig ins Krisenmanagement», sagt ein deutscher Sicherheitsberater mit Kontakten in die Schweiz.

Halblegale Ermittlungen

Nur wenige Konzernchefs geizen nicht und bauen stattliche Sicherheitsabteilungen auf. Die Grossbanken etwa führen eigene Ermittlungsteams mit ungefähr zwölf Leuten, die verdächtigen Transaktionen nachgehen oder Kunden überprüfen. Hinzu kommen weitere Leute für den Personen- und Gebäudeschutz. In der Finanzbranche herrscht spätestens seit dem Beginn des flächendeckenden Diebstahls von Kundendaten ein neues Denken: Auch grössere Kantonalbanken, die Zurich Versicherung und PostFinance leisten sich Ermittlungsteams. Daneben rüsten auch die Post, die SBB und die Pharmakonzerne Roche und Novartis auf, erzählt ein Mann mit Vergangenheit im Nachrichtendienst.

Der Rest der Schweizer Wirtschaft scheint den aktuellen Bedrohungen jedoch hilflos ausgeliefert zu sein. «In der Industrie wird die Sicherheit noch immer stiefmütterlich behandelt», sagt Peter Wüthrich, Chef Forensik bei der Beratungsgesellschaft KPMG Schweiz. Vor allem in Branchen mit niedrigen Margen informierten sich die Sicherheitsabteilungen nur selten aktiv über Bedrohungen.

Die Gefahr geht dabei nicht nur von ferngesteuerter Spionage in der digitalen Welt aus, wie die Irak-Dokumente von Wikileaks und die Affäre um die Vaduzer Bankdaten-CDs zeigen. Ob US-Soldat Bradley Manning oder Heinrich Kieber in Liechtenstein, am Anfang jeden Datenlecks stand die Tat eines Einzelnen. «Beim Einstellen von neuen Mitarbeitenden wird deren Hintergrund noch immer zu wenig ausgeleuchtet», so Wüthrich. «Zu oft fällt der Arbeitgeber später aus allen Wolken.» Manchmal fliegen Spionage-Aktionen auf, manchmal handelt es sich um simplen Betrug.

Anzeige

Oft dauert es keine drei Stunden, bis bei den grossen Beratungsfirmen Deloitte, PWC, KPMG und Ernst & Young der Ruf nach Hilfe eingeht. Die «Big 4» und andere kleinere Firmen führen spezielle Abteilungen mit ehemaligen Kriminalpolizisten, Nachrichtendienstlern und Staatsanwälten. Sie leuchten die Vergangenheit der Verdächtigen aus, sichern Beweismaterial und prüfen, ob im Ausland Vermögenswerte zum Begleichen des Schadens liegen. Der Vorteil der Revisions- und Prüfgesellschaften: Sie sind schneller als der Staat. Wenn der Übeltäter einknickt, kann alles vertuscht werden - ohne Reputationsschaden.

Doch besonders den «Big 4» sind Grenzen gesetzt. Als Revisionsgesellschaften können sie es sich nicht erlauben, halblegale, aber manchmal notwendige Ermittlungen zu verfolgen. In solchen Fällen weisen die Revisionsgesellschaften den Kunden sanft auf die Möglichkeit hin, dass anderswo weitere Dienste gekauft werden können: Bei kleineren Recherche-Firmen. «Diese machen dann Observationen und beschaffen sich Informationen, die nicht öffentlich zugänglich sind», sagt ein Insider. So geben noch heute Bankberater gegen Bezahlung Einblick in Kontodaten, und Amtsstellen erteilen Auskunft über Verschlusssachen. «Bei Amtsstellen ist es ein Geben und Nehmen unter Bekannten», erzählt ein solcher Ermittler, «Geld fliesst da nicht.»

Anzeige

Auf das rasche Geld hoffen andere: «Firmen sind häufiger mit Erpressungen konfrontiert als gemeinhin bekannt ist», sagt der Chef eines Beratungsbüros. Erpressungen gehören zu den bestgehüteten Geheimnissen in der Firmenwelt, und die Unternehmen sind auch darauf im Allgemeinen schlecht vorbereitet.» Nicht immer ist der Erpresser ein Fremder, der etwa auf das Geld eines Nahrungsmittelproduzenten spekuliert. Immer wieder seien es Manager, die entlassen wurden, zuvor aber noch Mails von anderen Geschäftsleitungsmitgliedern oder Firmengeheimnisse «abgesogen» hätten.

Flugrouten nachverfolgen

Im Ausland benötigen Schweizer Unternehmen ebenfalls die Hilfe von externen Krisenmanagern. Da klingelt es schon mal an der Tür eines ihrer Länderchefs in Osteuropa. Fünf nackte Kinder stürmen hinein, um kurz darauf mit ihm zusammen fotografiert zu werden. Die Aufnahmen tauchen schliesslich am nächsten Tag bei der Leiterin des lokalen Kindergartens auf. Für solche Mafiamethoden im knallharten Verdrängungswettbewerb fehlt den Schweizern schlicht die Erfahrung.

Anzeige

Doch schon beim Vorbeugen und nicht erst bei der Intervention im Ausland bieten Sicherheitsfirmen ihre Dienste an. Eine davon heisst Traxess und hat sich auf die Überwachung von Mitarbeitern auf Reisen spezialisiert. «Viele Unternehmen machen immer noch zu wenig», sagt Marketingchef Michael Fickenscher. «Erst wenn ein Mitarbeiter stirbt, geben die Chefs Gegensteuer.» Traxess bietet ein Rundumpaket an. Im Zentrum steht eine Software, die dank Anschluss an Flug- und Hotelbuchungssysteme dauernd aufzeigt, wo sich ein Mitarbeiter gerade befindet. Handelt es sich bei ihm um eine wichtige Person oder etwa um einen Ingenieur mit Auftrag in Krisengebieten, kommen Handy-Ortung via GPS und Observationen durch Nachrichtendienstler vor Ort dazu. Dabei geht es meistens weniger um die Kontrolle der Auslandreisenden als vielmehr um deren Schutz. Traxess durchforstet laufend Meldungen über Ereignisse weltweit und gleicht diese mit den Reiseplänen ab. «Im Bereich Monitoring im Ausland stehen Schweizer Firmen erst am Anfang», sagt Fickenscher.

Anzeige