Foto: Knipseline/ Pixelio.de

Industriespionage

Risikofaktor Mensch

Sie sind professionell organisiert, setzen Hackermethoden ein und nutzen die Neugier der Menschen gnadenlos aus: moderne Industriespione. Neben Konzernen haben sie mittlerweile auch den deutschen Mittelstand im Visier. Die Angreifer interessieren sich für Daten aus Forschung & Entwicklung, Kundendatenbanken oder Prozessbeschreibungen.

Jedes zweite deutsche Unternehmen erlebte laut einer Studie des Digitalverbands Bitkom in den vergangenen zwei Jahren einen Fall von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Nach Berechnungen des Verbands beläuft sich der entstandene Schaden für die gesamte deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr.

Wollen Unternehmen Cyberspione abwehren, reichen technische Schutzmaßnahmen alleine nicht aus. Vielmehr kommt es auf das richtige Zusammenspiel von Technologien, Prozessen und Menschen an. Virenscanner und moderne Firewalls haben selbstverständlich noch ihre Daseinsberechtigung. Aber gerade weil viele Unternehmen in Sicherheitstechnologien investieren, ist der Mitarbeiter als vermeintlich schwächstes Glied der Kette in den Fokus gerückt. Social Engineering heißt der bevorzugte Ansatz der Cyberspione, also die Ausnutzung des Faktors Mensch zur Erlangung vertraulicher Informationen.

Die wirksame Gegenmaßnahme heißt „Sensibilisierung“ zum Thema Informationssicherheit. Security-Trainings, Hacking Days, Videos im Intranet, simulierte Phishing-Angriffe: All diese Maßnahmen haben zum Ziel, dass Mitarbeiter eine persönliche Betroffenheit spüren, eine gesunde Skepsis entwickeln und verdächtige Vorgänge an den IT-Helpdesk melden. Damit können Unternehmen den Cyberspionen ihre Arbeit deutlich erschweren. Denn auf solche Meldungen können sie im Ernstfall reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.

Ganz wichtig: Sicherheitsbewusstes Verhalten beginnt in den Chefetagen. Denn in der Praxis bedeutet Sicherheit auch geringfügigen Mehraufwand wie zum Beispiel PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren. Hier müssen Führungskräfte mit gutem Beispiel vorangehen und sicherheitsbewusstes Verhalten vorleben. Denn: Wenn es der Chef nicht macht, warum sollten es dann die Mitarbeiter tun?

Frank von Stetten ist Mitgründer und Senior Consultant des Security-Spezialisten HvS-Consulting. Neben der Beratung mittelständischer Unternehmen und großer Konzerne zu Informationssicherheit, Prävention von Industriespionage sowie Sensibilisierung von Mitarbeitern ist er nebenbei auch als als „professioneller Spion“ zur Simulierung von Industriespionage-Angriffen auf Unternehmen im Einsatz.

Social Engineering

Social Engineering umfasst eine Vielzahl von Techniken, mit denen Cyber-Spione ihre Opfer manipulieren, um an vertrauliche Daten zu gelangen. Beispiele sind:

  • Phishing/Spear Phishing: Mitarbeiter erhalten professionell aufbereitete E-Mails, deren Inhalt beispielsweise typischen Geschäftsvorgängen entspricht und damit Vertrauen erweckt. Klickt der Empfänger dann auf einen Link oder Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Beim besonders perfiden Spear Phishing sammeln Cyber-Angreifer im Vorfeld Informationen über bestimmte Personen, um die E-Mail genau an deren „Bedürfnisse“ anzupassen.
  • Kontaktaufnahme via Telefon: Ein vermeintlicher IT-Administrator kontaktiert einen Mitarbeiter und verlangt für die Behebung eines technischen Problems dessen Passwort. Mit den Zugangsdaten seines Opfers kann der Cyberspion in das Unternehmensnetz vordringen und sensible Informationen ausspähen.
  • Herrenloser USB-Stick: Mitarbeiter finden USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen. Vorsicht, dahinter stecken oft Cyber-Angreifer. Sie setzen auf neugierige Menschen, die den USB-Stick an ihren PC stecken. Der Stick ist meist mit einem Trojaner präpariert.
Foto: HVS-Consulting AG

Sensibilisierung von Mitarbeitern

Wichtiger denn je

Industriespionage und Informationsfluss nehmen stetig zu. Wirkungsvolle Unternehmenssicherheit und Know-how-Schutz benötigen immer das Zusammenspiel dreier Komponenten: technische Maßnahmen, organisatorische Maßnahmen und Sensibilisierung der Mitarbeiter.

Foto: Kraiss & Wilke Security Consult

Die Quadratur des Kraiss

Subtil

Wer das Wort „subtil“ hört, denkt in erster Linie an „unterschwellig“. Aus dem lateinischen Wort „subtexilis“ kommend, bedeutet es „fein unter anderes gewebt“. Im Deutschen entstanden daraus unterschiedliche Anwendungen. Dem Wortstamm am ähnlichsten, kann es „fein strukturiert“ bedeuten. Es kann auch „unterschwellig“ bedeuten oder in Verbindung mit „großer Sorgfalt“, „Genauigkeit“ oder „Präzision“ verwendet werden. So bezeichnet man beispielsweise fein ausgeklügelte und nuancierte Methoden oder Vorgehensweisen als subtil.

Foto: IMC AG

Social Engineering

Im ständigen Wandel

Ob Wikileaks, Facebook oder Sony – die Meldungen über Datenlecks und Datenmissbrauch häufen sich. Doch wie können sich Unternehmen vor solchen Vorfällen schützen? Eine zentrale Komponente sind die Mitarbeiter.

Foto: Bernhard Aichinger/Pixelio

Informationsschutz

Aufklären und schulen

Informationssicherheit gewinnt immer mehr an Bedeutung. Wie Mitarbeiter für dieses Thema sensibilisiert werden können und wie man ein geeignetes Managementsystem aufsetzt, wollte PROTECTOR & WIK von Michael Franke, Berater und Senior Project Manager der Rucon Gruppe, wissen.