Fachartikel aus PROTECTOR 01-02/2012, S. 16 bis 17

Maßnahmen gegen Informationsdiebstahl Kleine Firmen, große Risiken

Experten sind sich einig: Der Kampf um Rohstoffe prägt die Gegenwart und er wird, wesentlich massiver noch, die Zukunft bestimmen. Dennoch wird ausgerechnet einer der wichtigsten aller Rohstoffe in vielen Fällen offen und ungeschützt präsentiert, greifbar für Jedermann. Wir sprechen vom Rohstoff der Information.

Bild: Fotolia.de/VRD
  (Bild: Fotolia.de/VRD)

Informationen haben bekanntlich Schlachten und Kriege entschieden. Auch auf dem Felde der Wirtschaft sind sie von unschätzbarer strategischer Bedeutung für die Zukunftsfähigkeit von Unternehmen und kompletten Volkswirtschaften. Schon deshalb nehmen Wirtschaftsspionage (von Fremdstaaten gelenkt) und Konkurrenzausspähung (Informationsgewinnung durch andere Unternehmen) im Zeichen der Globalisierung und des sich verschärfenden Wettbewerbsdrucks immer intensivere Formen an.

Dennoch wird die Gefährdungslage massiv unterschätzt. Gerade in kleinen und mittleren Unternehmen (KMU) herrscht auch heute noch weitestgehende Sorglosigkeit vor. Eine oft zu hörende Formulierung ist: „Wer soll uns denn ausspionieren, die nehmen sich doch erst einmal die Großen vor“. Mit ähnlicher Logik könnte man sagen: „Was sollen wir als kleines Kreditinstitut befürchten, die Bankräuber werden in erster Linie die Großen heimsuchen“. Doch Bankräuber werden dort aktiv, wo sie möglichst wenige Risiken zu erwarten haben. Ähnlich ist es mit der Spionage. Da Großunternehmen üblicherweise professionell abgesichert sind, geraten immer mehr KMU in den Fokus.

Zu holen gibt es auch dort genug. Die Frage des Know-hows ist keine Frage der Unternehmensgröße. Den Spionen aller Couleur geht es dabei keinesfalls nur um den Klassiker, die technische Informationen, sondern zum Beispiel auch um Kundendaten, Details über Ausschreibungsangebote und Personalinformationen.

Was kann getan werden?

In erster Linie sollten die Verantwortlichen grundlegend überprüfen, wo die Schwachstellen des Unternehmens liegen. Da nicht sämtliches betriebliches Know-how gleichermaßen geschützt werden kann, gilt es zunächst, eine Prioritätenliste und einen Maßnahmenplan nach folgenden Kriterien zu erstellen. Dazu gehört die Bestimmung des Gefährdungspotenzials, auch aus der Gegnerperspektive: Wäre ich der Angreifer, wo würde ich ansetzen? Welche Art von Informationsgewinnung würde mir den größten (Markt-)Vorteil verschaffen?

Außerdem: Welche Art von Informationsabflüssen wäre eine massive Gefährdung für den Fortbestand und die Zukunftsfähigkeit des Unternehmens? Welche Informationen, die so genannten Kategorie-I-Informationen, sind von vitaler Bedeutung? Dabei sollte man restriktiv und deutlich selektierend vorgehen, denn jede unnötig oder unnötig intensiv geschützte Information raubt Ressourcen für den Schutz der wirklichen „Kronjuwelen“. Was wird aktuell getan, um diese „Kronjuwelen“ zu schützen? Was muss unternommen werden, um diese Kategorie-I- Informationen effektiver als bisher zu schützen? Dabei Minimal- und Maximalschutz und geeignete Zwischenformen definieren.

Des Weiteren ist es ratsam, „Penetrationstests“ durchzuführen, eventuell mit Hilfe von Drittpersonen. Dabei stellt sich heraus, ob das Unternehmen gegen unerwünschten Zugang/Zutritt ausreichend gesichert ist und wo mögliche Schwachpunkte liegen.

Systematische Verdachtsfallbearbeitung

Sodann sollte man der Frage nachgehen: Was ist realisierbar, was nicht? Was ist bei Nichtmachbarkeit (Finanzierungsproblematik, nicht leistbarer Arbeitsaufwand) eventuell geeignet, alternativ die Lücken zu füllen? Unternehmen sollten darüber hinaus eine systematische Verdachtsfallbearbeitung betreiben, mit der Verhaltensmuster, die deutlich vom „Mainstream“ abweichen, identifiziert werden. Zum Beispiel:

  • häufige Arbeit zu Zeiten, in denen sich wenige oder gar keine Mitarbeiter im Betrieb befinden,
  • übermäßiges Kopieren, besonders zu frequenzarmen Zeiten,
  • geringe Schreibaktivität in den relevanten Zeiträumen,
  • auffälliges Interesse an Themenfeldern oder Kontaktpersonen, die nichts mit dem eigentlichen Arbeitsgebiet zu tun haben,
  • häufige Kurzurlaube ohne plausible Begründung,
  • Missverhältnis zwischen Einkommen und Lebensstil (nicht nur ablesbar an Kleidung, Ausgabeverhalten und PKW, sondern beispielsweise auch an exklusiven Urlaubszielen oder teuren Hobbys). Hinweis: Misstrauen Sie generell der überaus beliebten Begründung, man habe im Lotto gewonnen oder eine Erbschaft gemacht.

Alle diese Indikatoren sind keinesfalls ein Grund, jemanden vorzuverurteilen, aber sie sind allemal Anlass, einmal genauer hinzuschauen.

Marktbeobachtung

Außerdem ist eine intensive Marktbeobachtung hilfreich. Wo gibt es belastbare Hinweise, dass aus dem Unternehmen Informationen abgeflossen sind? Bei technologieorientierten Unternehmen ist zu empfehlen, nicht dienstliche Fotohandys und Datenträger (unter anderem USB-Sticks, Notebooks, MP3-Player) in sensiblen Bereichen generell zu verbieten. Die Einhaltung sollte stichprobenartig mit Tor- und Taschenkontrollen überprüft werden. Zudem muss der effektive Schutz aller USB-Schnittstellen sichergestellt sein und verhindert werden, dass sensible Daten unbemerkt kopiert werden können.

Unternehmen sollten auch dafür sorgen, dass Mitarbeiter, die auf einen kritischen Sachverhalt hinweisen wollen, auch zum Zuge kommen können. Doch das ist nicht so einfach. Während die Kollegen für einen Täter nach Robin-Hood-Manier nicht selten Verständnis entwickeln, wird der Informant hingegen ausgegrenzt und gemobbt. Unzählige sachdienliche Informationen kommen schon deshalb nicht an die richtige Adresse, weil der Betreffende erstens nicht weiß, an wen er sie richten kann, und zweitens bezüglich der auf ihn zukommenden persönlichen Folgen unsicher und verängstigt ist. Bewährt hat sich hierzu ein anonymes Hinweisgebersystem, entweder in Form eines Ombudsmannes (Rechtsanwalt, da dieser sich auf seine Schweigepflicht berufen kann) oder ein elektronisches Portal.

Soziale Netzwerke

Wichtig ist in der heutigen Zeit auch das Thematisieren der Risiken von sozialen Netzwerken. Der heutige Industriespion hat es nämlich denkbar einfach. Um eine Person zu finden, die er „casten“ kann, muss er sich nur in einem sozialen Netzwerk kundig machen. Wenn er Glück hat, holt er den kompletten Lebenslauf eines Kandidaten inklusive seiner Hobbys und Interessen auf den Bildschirm. Dann noch eine Internetrecherche über die betreffende Person - und fertig ist ein komplettes Dossier. In früheren Zeiten musste eine solche Materialsammlung mühsam und aufwändig erarbeitet werden. Heute, in der Informationsgesellschaft, genügen wenige Klicks für ein ähnliches Ergebnis. Deshalb sollte nach Möglichkeit die entblößende Offenheit von Mitarbeitern in diesen Netzwerken eingeschränkt werden. Und: Man muss Überzeugungsarbeit leisten, statt unkommentierte Verbote auszusprechen.

Wege aus der Verstrickung

Last but noch least: Für Mitarbeiter ist es gut zu wissen, dass es im Betrieb eine klar definierte Möglichkeit gibt, sich aus nachrichtendienstlichen oder auf Mitbewerber bezogene Verstrickungen zu befreien. Viele Personen sind in der Situation der Ansprache völlig perplex oder befürchten, besonders in mehr oder minder „lupenreinen“ Fremdländern gravierende Nachteile zu erleiden, wenn sie Nein sagen.

Diesen Momenten der Überrumpelung beziehungsweise Verunsicherung folgt meist die Phase der Ernüchterung, verbunden mit der drängenden Frage „Wie komme ich aus dieser Nummer wieder raus?“. Gibt es keine betrieblichen Ausstiegsprogramme, wird der „Gecastete“ meist an der nachrichtendienstlichen Tätigkeit festhalten, da er andernfalls noch massivere Nachteile für seine Person befürchtet. Unternehmen sollten also eine „goldene Brücke“ für Ausstiegswillige bauen. Den maximalen Abwehreffekt haben sie, wenn der Informant erst gar nicht zum Zuge kommt.

Können betroffene Firmen die genannten Präventions- und Abwehrmaßnahmen nicht mit eigenen personellen Ressourcen umsetzen, können sie sich auch qualifizierter externer Hilfe bedienen. Dabei muss man allerdings viel Sorgfalt auf die Auswahl eines Dienstleisters verwenden. Bei einem Anfangsverdacht sollten sich Verantwortliche nicht scheuen, ihr Landesamt für Verfassungsschutz zu verständigen. Die eingesetzten Beamten wissen, was in solchen Fällen zu tun ist, und man kann sich darauf verlassen, dass ihnen ein falscher Alarm lieber ist als ein unterlassener Hinweis.

Klaus-Henning Glitza, freier Autor in Harsum