Verfassungsschutz warnt: Versorger zu leichtsinnig im Umgang mit sensiblen Daten

Vor einem leichtsinnigen Umgang mit sensiblen Daten warnt das Bundesamt für Verfassungsschutz vor allem Versorgungsunternehmen in Bereichen der kritischen Infrastruktur. Viele von ihnen gingen zu leichtfertig mit Daten um, die ausländische Geheimdienste abschöpfen oder Saboteure missbrauchen könnten.

Kritische Infrastruktur laut Verfassungsschutz besonders gefährdet

Bereits am 2. Dezember 2022 veröffentlichte der Inlandsgeheimdienst einen „Sicherheitshinweis für die Wirtschaft“. Dieser ist mittlerweile auch auf der Website der Einrichtung abrufbar. Der Verfassungsschutz geht davon aus, dass sowohl ausländische Nachrichtendienste als auch extremistische Akteure öffentlich zugängliche Information zur kritischen Infrastruktur sammeln.

Betroffen seien dabei vor allem Versorgungsunternehmen in Bereichen wie Digitalisierung, Strom- oder Gasversorgung. Aber auch die Landwirtschaft oder Unternehmen des Fernverkehrs gehören zu den gefährdeten Akteuren.

Ein Vorfall im Oktober des Vorjahres illustriert die Dringlichkeit der Warnung der Verfassungsschützer. Am 8. Oktober hatte ein bis heute ungeklärter Anschlag auf zwei Glasfaserkabelschächte der Deutschen Bahn stundenlang den Bahnverkehr in Norddeutschland lahmgelegt.

Der Staatsschutz ging schon damals von einer politisch motivierten Tat aus. Das BfV weist nun darauf hin, dass die Verantwortlichen für den Anschlag über Insiderwissen verfügten. Die Täter durchtrennten damals nicht nur ein Kabel in Berlin, sondern gleichzeitig auch die Ersatzleitung im 500 Kilometer entfernten Herne.

Jede Information über gesetzlich vorgeschriebenes Maß hinaus abzuwägen

Der Verfassungsschutz macht die Versorger darauf aufmerksam, dass sie potenziellen Spionen oder Saboteuren die Informationsbeschaffung häufig auch zu leicht machen. In vielen Bereichen stellten Unternehmen der kritischen Infrastruktur ohne Not detaillierte Informationen zur Verfügung, deren Zugänglichkeit mehr Schaden als Nutzen stifte.

Die potenziell Betroffenen sollten hier bezüglich jeder online gestellten Information, die über gesetzliche Pflichtangaben hinausgeht, abwägen. Präsentationen, Kartenmaterial, Trassenführungen oder Abläufe seien zu oft so transparent, dass böswillige Akteure sie missbrauchen könnten.

Aber auch Anweisungen, Leitfäden oder zu weitreichende Kontaktinformationen ließen sich gegen die Unternehmen verwenden. Vorsicht sei auch bezüglich der Profile von Beschäftigten in sozialen Medien und Karriereplattformen geboten. Auch hier seien Arbeitsschwerpunkte, Qualifikationen oder sogar private Daten zu einfach erkennbar.

Verfassungsschutz richtet detaillierte Empfehlungen an Schlüsselbereichsverantwortliche

Der Inlandsgeheimdienst rät vor allem Sicherheitsbeauftragten, Personalverantwortlichen, aber auch Beschäftigten in sensiblen Bereichen, bestimmte Vorsichtsmaßnahmen zu beachten. Zudem sollten sie diese auch intern kommunizieren und so zur Sensibilisierung beitragen.

Notwendige Sicherheitsmaßnahmen reichten dabei von der Überprüfung vorhandener und geplanter Veröffentlichungen bis hin zur Beobachtung möglicher Ausspähversuche – etwa durch Drohnen. Mitarbeiter sollten „datensparsam“ in sozialen Netzwerken auftreten und generell müsste jedes Unternehmen ein Augenmerk auf die Kommunikationswege haben.

Schädliche Akteure wollten „Schwachstellen und damit Ansatzpunkte identifizieren, um physische und cybergestützte Sabotagehandlungen durchzuführen“. Auch detaillierte Handlungsanweisungen für Krisenfälle hätten im Internet nichts zu suchen. Sie könnten dazu missbraucht werden, „Notfallabläufe zu unterbrechen oder zumindest zu stören“.

Bundesnetzagentur weist Kritik zurück

Kritik gibt es in diesem Zusammenhang auch an den gesetzlichen Transparenzpflichten für Unternehmen. Diese seien auch nach Meinung von Betroffenen angesichts des Ukraine-Kriegs und anderer neuer Bedrohungen komplett zu überdenken.

Die Deutsche Telekom will beispielsweise einen Teil der verlangten Daten für den sogenannten Infrastrukturatlas nicht mehr liefern, Die Bundesnetzagentur ist für diese Art einer digitalen Landkarte Deutschlands verantwortlich.

Dort hält man die Kritik jedoch für unberechtigt. Man prüfe regelmäßig das „Spannungsfeld zwischen dem Informationsbedarf der Marktakteure und der Öffentlichkeit sowie dem notwendigen Geheimhaltungsbedarf“. Und bewerte dieses erforderlichenfalls neu.

(Mit Material von AFP)