Schwachstellen aufdecken und analysieren

Michael George: Wirtschaftsspionage ist für Deutschland eine ernstzunehmende Gefahr. Der Reichtum unseres Landes liegt nicht in Rohstoffen begründet, sondern in der Innovationskraft und Ingenieurskunst und der damit verbundenen schnellen Umsetzung in marktfähige Lösungen.

Andere Staaten würden gerne Entwicklungszyklen beschleunigen beziehungsweise Kosten senken und versuchen daher, an dieses Vorsprungswissen heranzukommen. Schwerpunkte der Informationsbeschaffung in sind oftmals zukunftssichernde und strategisch bedeutsame Hoch- und Querschnittstechnologien.

In Bayern betreffen Spionageaktivitäten verstärkt den Maschinen-, Fahrzeug- und Motorenbau sowie Elektronik, Mess- und Steuerungstechnik. Aber auch strategische Informationen sind gerade in wirtschaftlich schwierigen Zeiten ein lohnendes Ziel.

Genaue Angaben zu Vorfällen sind schwer zu bekommen. Das Problem ist, dass wir es mit einer doppelten Dunkelziffer zu tun haben. Zum einen werden viele Fälle aus Angst vor Imageschäden nicht zur Anzeige gebracht, zum anderen wissen viele Unternehmen gar nicht, dass sie Opfer von Spionageattacken geworden sind, gerade, wenn es um den elektronischen Bereich geht. Wir versuchen, mit unserem Beratungsangebot Unternehmen für dieses Thema zu sensibilisieren und bieten eine Sicherheitspartnerschaft, die einen vertraulichen Informationsaustausch garantiert.

Wirtschaftsspionage geht per Definition von Staaten oder genauer von deren Nachrichtendiensten aus. Im Gegensatz zur Konkurrenzausspähung, die ein konkurrierendes Unternehmen gegen ein anderes betreibt. Für den Geschädigten ist es dabei letztlich egal, wer der Angreifer ist. Daher sollten Unternehmen ihre Sicherheitskonzepte auch möglichst breit aufstellen, um sich gegen alle möglichen Gefahren durch Dritte zu wappnen.

Leider wird in Deutschland das Problem Wirtschaftsspionage nach wie vor unterschätzt. Viele mittelständische Unternehmen können sich schwer vorstellen, Opfer von Spionage zu werden, da sich die Gefahr als zu unkonkret darstellt. Dabei ist es gerade der Mittelstand, der hierzulande die innovationstreibende Kraft ist. Auch die Angreifer wissen das, weswegen sich die überwiegende Mehrheit der Vorfälle auch beim Mittelstand ereignet und nicht bei den ohnehin gut geschützten Großunternehmen, die eher entsprechende Ressourcen in umfangreiche Sicherheitslösungen stecken.

Die Methoden der Spionage haben sich in den letzten Jahren doch stark gewandelt. Früher mussten durch Beobachtung, Ausforschung oder Befragungen aufwendig Hintergrundinformationen gesammelt werden, um an einen Wissensträger heranzukommen. Heutzutage können diese Informationen häufig mit geringem Rechercheaufwand im Internet, etwa in sozialen Netzwerken, herausgefiltert werden. Außerdem hat die Verfügbarkeit der Abhör- und Spionagemittel enorm zugenommen.

Früher war Wirtschaftsspionage wenigen Institutionen oder Akteuren vorbehalten, da die Mittel nur beschränkt zugänglich und auch verhältnismäßig teuer waren. Heute kann im Prinzip jeder Spionage betreiben. Allein das Internet bietet eine Fülle von Quellen für Ausrüstung, Anleitungen und dergleichen mehr, und das häufig für wenig Geld.

Der Faktor Mensch spielt eine wesentliche Rolle. Einerseits gilt er häufig als das größte Sicherheitsrisiko, andererseits beinhaltet er das größte Potenzial an Sicherheit im Unternehmen. Das liegt daran, dass viele Informationen nach außen eher unabsichtlich weitergegeben werden. Gerade soziale Netzwerke oder Foren im Internet können den ein oder anderen verleiten, im virtuellen Gespräch mehr preiszugeben als eigentlich sinnvoll.

Auch den Umgang mit Informationen im öffentlichen Raum wie Flughäfen, Bahnsteigen oder in Zügen handhaben Verantwortliche nicht selten recht lax. Da wird unbeschwert über sensible Daten am Telefon gesprochen oder auf dem Laptop für Dritte einsehbar geschrieben. Was in Deutschland eher zufällig zu Schaden führen kann, sieht im Ausland oft anders aus. Dort überlässt man solche Szenarien nicht gerne dem Zufall.

Grundsätzlich sollten Unternehmen natürlich auf ihre generellen Sicherheitsmaßnahmen achten, also Dinge wie Zutrittskontrollen, IT-Sicherheit und Berechtigungsverwaltungen. Vor allem aber müssen die wichtigsten Informationen – die „Kronjuwelen“ – benannt, und dementsprechend geschützt werden.

Durch Schulungen sollten die Mitarbeiter für den sicheren Umgang mit diesen „Kronjuwelen“ fit gemacht werden. Alle Inhalte gleich zu sichern, ist weder sinnvoll, noch praktikabel. Sind aber die Kerninhalte geschützt und ist der Zugriff den relevanten Personen vorbehalten, ist das Risiko bereits erheblich reduziert. In der Regel müssen nur fünf Prozent der Unternehmensdaten identifiziert und gezielt geschützt werden, um das Fortbestehen auf dem Markt zu sichern.

Der Präventionsgedanke sollte auch bei Auslandsreisen von Mitarbeitern und Führungskräften im Fokus stehen. Hier ist eine intensive Vorbereitung angebracht, gerade im Hinblick auf die zuvor definierten, schützenswerten Firmeninhalte. Nur so kann der Mitarbeiter einschätzen, ob er und seine Unterlagen vielleicht zum Ziel von Spionage werden könnten.

Ferner sollten Unternehmen im Vorfeld festlegen, mit welchen Inhalten Mitarbeiter auf Reisen gehen, also ob der Laptop beispielsweise nur das Notwendigste für die Arbeit enthält und ob und wie diese Daten zu verschlüsseln sind. Kehrt der Mitarbeiter aus dem Ausland zurück, darf auch eine gründliche Nachbereitung nicht fehlen. Gab es Vorkommnisse, ist der Mitarbeiter angesprochen worden? Nur wenn „Geschichten“ reisender Mitarbeiter nachträglich zusammengebracht werden, lassen sich Maschen oder Fallstricke der Angreifer erkennen. Auch Datenträger sollten einer Überprüfung unterzogen werden, ob sich eventuell Dritte unbemerkt Zugang verschafft haben.

Der „Kampf“ zwischen dem Angreifer, der Informationen will, und demjenigen, der sie schützt, ist immer ungleich. Dem Angreifer reicht eine einzige Lücke im System, während der Verteidiger jede mögliche Schwachstelle aufdecken und schließen muss, was sehr schwierig ist. Außerdem führt die rasante Entwicklung in der Computertechnologie zu immer neuen Herausforderungen. Bereits auf einen kleinen USB-Stick passen riesige Datenmengen, und IT-Systeme lassen sich infiltrieren und Daten abschöpfen, ohne dass Sie es womöglich bemerken. Allerdings lassen sich über das vorhin erwähnte Kronjuwelen-Verfahren die meisten Gefahren abwenden.

Generell wäre es wichtig, dass betroffene Unternehmen sich im Zweifelsfall an die Polizei oder an uns wenden, wobei wir auf Wunsch Vertraulichkeit garantieren können. Somit können Unternehmen sich an uns wenden, ohne Gefahr zu laufen, dass womöglich durch Publikmachen noch ein Imageschaden für sie entsteht. Je mehr Informationen wir erlangen, desto genauer können wir Unternehmen beraten und auf mögliche Schwachstellen hinweisen.