Mrz 042010
 

Industriespionage ist ein Tabuthema. Betroffene reden ungern darüber und so mancher weiß nicht einmal, dass er Ziel eines Angriffs wurde. Dabei trachten nicht nur Mitbewerber nach dem Know-how Ihres Unternehmens, sondern auch fremde Staaten. Und ist der Wissensvorsprung erst einmal weg, droht nicht selten die Insolvenz.

„Industriespionage? Wir doch nicht. Bei uns gibt’s nichts zu holen.“ Ein Statement, das Torsten Götz nur allzu oft zu hören bekommt. Der freie Spezialist für Wirtschafts-Sicherheitslösungen muss sich dann immer ein bisschen beherrschen: „Ein Unternehmen, bei dem es ‚nichts zu holen gibt’, wäre dann im Grunde genommen ja wertlos. Jede Unternehmung beruht auf schützenswertem Know-how. Das muss nicht unbedingt eine geniale Konstruktion sein, auch eine Kundenliste, Informationen über Lieferantenkonditionen oder die Geschäftsstrategie für die nächsten Jahre bedeuten einen Wissensvorsprung vor dem Mitbewerber, der für den Erfolg oder Misserfolg eines Unternehmens entscheidend ist.“

Industriespionage ist trauriger Alltag, das wissen nicht nur die einschlägigen Berater. Konkrete Zahlen über den wirtschaftlichen Schaden sind kaum zu finden, da die Dunkelziffer extrem groß ist. Nur selten kommen spektakuläre Fälle an die Öffentlichkeit, wie z. B. der Google-Hack Anfang dieses Jahres. Viele Geschädigte fürchten einen Imageverlust und verschweigen deshalb einen Angriff. Noch häufiger allerdings bemerkt ein Unternehmen die Attacke überhaupt nicht oder erst dann wenn es längst zu spät ist. „Der durchschnittliche Schaden für einen Mittelständler erreicht schnell die Millionengrenze,“ zitiert Götz die Statistik, „wobei 8 von 10 Unternehmen bei zu massivem Know-how Abfluss nicht überleben.“

Was allgemein als Industriespionage bezeichnet wird, unterscheiden Fachleute in Wirtschaftsspionage, eine von staatlichen Nachrichtendiensten betriebene Ausforschung, und Konkurrenzausspähung oder „aggressive Konkurrenzanalyse“ zwischen einzelnen Unternehmen. Dabei ist es irrig anzunehmen, Wirtschaftsspionage beträfe nur Großunternehmen und Global Player, auch kleine und mittlere Unternehmen sind für fremde Geheimdienste interessant – und längst nicht nur, weil sie als Unterlieferanten oft der Schlüssel zu Großunternehmen sind. Deutsches Know-how ist eben weltweit gefragt – nicht nur bei zahlenden Kunden.

Ziel der meisten Angriffe ist natürlich die EDV. Dabei reicht es längst nicht mehr aus, Rechner und Netzwerke mit Virenscanner und Firewall zu sichern. Durch die fortschreitende Digitalisierung haben sich die potenziellen Schwachstellen explosionsartig vermehrt: Moderne Kopierer und Faxgeräte beispielsweise legen gescannte Dokumente in einem internen Speicher ab und bei einem „Service“ mit Gerätetausch verschwindet schnell mal die gesamte Korrespondenz. Telefonanlagen sind zu hochkomplexen Rechnersystemen mutiert, wer merkt da schon, wenn sein Apparat unvermittelt auf Freisprechen springt. Drahtlose Netzanbindungen sind praktisch und schnell von jedermann eingerichtet – ihre fachgerechte Sicherung allerdings ist kompliziert und nur etwas für Spezialisten. Eine unsachgemäß angeschlossene Bluetooth-Tastatur erspart einem Angreifer sogar die Mühe einen Keylogger zu installieren. Das sind kleine Geräte, die zwischen Tastatur und Rechner gesteckt werden und jeden Tastenanschlag, also jede Korrespondenz und – schlimmer noch – jedes Passwort aufzeichnen. Wann haben Sie das letzte Mal unter Ihrem Schreibtisch nachgeschaut, was hinten in Ihrem Rechner steckt?

Schwachstelle Mensch

Die wenigsten Angriffe jedoch erfolgen ausschließlich auf technischer Ebene. „Selbst mit der besten Sicherheitssoftware bleibt der Mensch der Schwachpunkt,“ weiß Götz und meint damit nicht nur ein vergessenes Update oder eine falsche Anpassung des Programms: „Mehr und mehr Attacken erfolgen in Zusammenhang mit Human Engineering.“ So genannte Social Hacks, oder zu gut Deutsch Täuschungsmanöver, dienen nicht nur dazu, direkt an konkrete Pläne oder Unterlagen zu gelangen. Richtig zusammengesetzt können scheinbar belanglose Informationsschnipsel die gewünschte Auskunft ergeben oder zumindest einem Hacker die Arbeit erleichtern. Vielleicht ist es ja gar kein aufmerksamer Lieferant, der da wegen eines Präsents nach dem Geburtsdatum des Chefs fragt, sondern jemand, der sich gerade an seinem Passwort die Zähne ausbeißt. Neugierige Messebesucher, computerbegeisterte Zugnachbarn, falsche Bewerber oder Lieferanten, Headhunter – die Verkleidungen der Informationssammler sind vielfältig.

Aber soll man deshalb von Paranoia gelähmt mit jeder Informationen knausern, auch auf die Gefahr hin potenzielle Kunden zu vergraulen? Oder einfach nur darauf hoffen, dass es schon gut gehen wird? Götz rät zu einem gesunden Mittelweg: „Wichtig ist die Sensibilisierung der Mitarbeiter für einfache Grundregeln: Ist der Fragende wirklich derjenige, der er vorgibt zu sein? Muss er diese Informationen wirklich haben? Und ist er überhaupt berechtigt, darauf zuzugreifen? Dabei ist es wichtig, dass der Mitarbeiter keine Sanktionen fürchten muss, wenn er beispielsweise den neuen, ihm unbekannten IT-Mitarbeiter nicht an seinen Rechner lässt oder einem zu neugierigen Messebesucher die Auskunft verweigert.“ Der Schlüssel zum Erfolg liegt dabei in der verantwortungsbewussten Einweisung aller Mitarbeiter in die Bedrohung – eine Bedrohung, die letztendlich die eigenen Arbeitslätze gefährdet. Ohne die Einsicht der Mitarbeiter zur aktiven Umsetzung dieser Präventionsmaßnahmen durch alle ist selbst das ausgeklügeltste technische Sicherheitskonzept mit all seinen Firewalls, Passwörtern, Zugangskontrollen und Scannern im Grunde nutzlos.

Was aber, wenn es trotzdem ein Leck gibt und ein Angriff entdeckt wird? „Jetzt macht sich gute Vorarbeit bezahlt,“ sagt Götz und bezieht sich damit nicht unbedingt auf einen fixen „Schlachtplan“. „Natürlich sollten bestimmte Vorgehensweisen für den Fall einer Attacke vorbereitet werden, die genaue Reaktion hängt jedoch von der aktuellen Situation ab. Auf jeden Fall sollte eine kompetente Kontaktperson festgelegt werden, die ohne Furcht vor Regress eine Entscheidung trifft ob und wenn ja, was getan wird.“ Doch lange bevor überhaupt über solche Strategien nachgedacht wird, muss das Schutzziel, das zu sichernde geistige Gut, klar formuliert und klassifiziert worden sein. Denn nur wenn ein so genannter Geheimhaltungswillen erkennbar ist, kann zum Beispiel die Staatsanwaltschaft in Aktion treten und wegen unlauterem Wettbewerb oder gar Wirtschaftsspionage ermitteln.

Industriespionage ist ein ernstes, unbequemes Thema. So real die Bedrohung auch ist, viele drücken sich dennoch um die Auseinandersetzung damit – sei es aus falsch verstandener Angst um die unternehmerische Freiheit oder dem Glauben an das Gute im Menschen. Dabei gilt für Computerviren und andere Spionageangriffe im Grunde dasselbe wie für echte Viren: Hundertprozentigen Schutz vor einer Grippe gibt es nicht. Aber deshalb muss man nicht zu Hause bleiben. Ein bisschen Vorsicht, rechtzeitige Vorbeugung und rasche Behandlung bei den ersten Symptomen schützt vor Schnupfen ebenso wie vor Spionen. n

Matthias Meier

 

www.torstengoetz.com
Torsten Götz ist freier Berater für Wirtschafts-Sicherheitslösungen. Sein Schwerpunkt liegt in der Vermeidung von Schäden und Gefährdungen durch effiziente Gefahren- und Krisenpräventionsstrategien.

www.im.nrw.de/sch/doks/vs/wirtschaftsspionage.pdf
Einführendes PDF des Bundesamt für Verfassungsschutz zum Thema Wirtschaftsspionage. Unter anderem mit vielen weiterführenden Links.

www.im.nrw.de/spionagetest
Online-Test des Innenministeriums NRW zum Gefährdungspotential für das Unternehmen.

www.bsi.bund.de
Das Bundesamt für Sicherheit in der Inforamtionstechnik klärt über aktuelle Gefährdungen auf und gibt Tipps zur Sicherung der EDV.

www.verfassungsschutz.de/de/arbeitsfelder/af_spionageabwehr_und_geheimschutz
Informationen des Bundesamts für Verfassungsschutz zum Thema Wirtschaftsspionage.

www.asw-online.de
Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.V. Informationen rund um die Sicherheitsbereiche der gewerblichen Wirtschaft.

www.sicherheit.info
Portal zweier Sicherheitszeitschriften mit vielen Informationen.

 

 

Sorry, the comment form is closed at this time.