Foto: Fotolia/ArTo

Datenklau

Willkommen in der Realität

Fast täglich ist über spektakuläre Datendiebstähle oder Hackingversuche zu lesen, und es betrifft „prominente“ Opfer wie Behörden, Banken oder Versicherungen ebenso wie die „normale“ Wirtschaftswelt. W&S befragte zum Thema Datenabfluss und Abwehrstrategien den IT-Sicherheitsberater Wolfram Funk, Principal Consultant bei der Steria Mummert Consulting AG.

W&S: Nicht mehr James-Bond-Utopie, sondern Realität: Ist das Thema Wirtschaftsspionage in den Unternehmen „angekommen“?

Wolfram Funk: Definitiv ja. Wirtschaftsspionage ist ein dominierendes Thema. So hat das Bundesinnen-ministerium kürzlich die Schäden, die dadurch entstehen, zwischen 20 und 50 Milliarden Euro im Jahr geschätzt. An dieser Spanne sehen Sie schon, dass es sehr schwierig, den Schaden genau zu quantifizieren. Eine von uns durchgeführte Studie zeigt ganz deutlich, dass Wirtschaftsspionage mittlerweile Realität ist. Jedes vierte Unternehmen hat konkrete Fälle von Wirtschaftsspionage registriert oder zumindest einen Verdacht. Es handelt sich also nicht mehr um eine Randerscheinung.

Langsam setzt sich die Erkenntnis durch, dass es bei Wirtschaftsspionage nicht um Szenarien à la James Bond geht, sondern dass das ein neuer „Wirtschaftsszweig“ ist, der wirtschaftlich oder auch politisch motiviert ist.

W&S: Wer steht denn besonders im Fokus von Wirtschaftsspionen? Eher Global Player oder auch der Mittelstand?

Funk: Beide. Grundsätzlich geht es immer um die Motivation, die ein Angreifer hat. Und wirtschaftliche Interessen gibt es in allen Bereichen, Spionage ist daher bei allen Unternehmensgrößen gegeben.

Der Unterschied zwischen einem großen und einen kleinen Unternehmen liegt darin, dass bei den Großen grundsätzlich die Attraktivität da ist, Wirtschaftsspionage zu betreiben. Hier geht es um große Vertragsvolumina. Daher wäre es aus Angreifersicht sinnvoll zu wissen, zu welchem Preis der Mittbewerber anbietet. Hier „lohnt“ es sich, Spione einzuschleusen. Wobei die Großen natürlich auch immer besser gegen Spionageangriffe aufgestellt sind.

Aber auch bei den Kleinen gibt es Innovationen abzugreifen. Da kann auch ein Mittelständler mit seiner speziellen Erfindung Marktführer sein. Daher ist auch hier mit Angriffen zu rechnen. Leider gibt es bei den Kleinen oft nicht die entsprechenden Schutzmaßnahmen, um die Risiken sinnvoll zu reduzieren. Insofern sind sie eine leichtere Beute für Wirtschaftsspione.

W&S: Und welche Branchen sind besonders „ausspähbegehrt“?

Funk: Hier müssen wir differenzieren. In unserer Studie hatten wir gefragt, ob konkrete Fälle der Wirtschaftsspionage registriert wurden oder ob es Verdachtsfälle gab. Hier gab es die Tendenz, dass sich die Branchen IT, Medien, Telekommunikation und Logistik stärker betroffen einschätzten. Die öffentliche Hand dagegen weniger.

Um Wirtschaftsspionage aber überhaupt erkennen zu können, muss man eine gewisse „Reife“ in puncto Informationssicherheit haben. Die ist in den genannten Branchen eher gegeben; daher erkennt man dort überhaupt erst, dass ein Angriff stattgefunden hat.

Diese „Reife“ ist aber eine Hürde, die viele Unternehmen aus dem Mittelstand nicht meistern. Weil dort Daten nicht protokolliert oder ausgewertet werden. Grundsätzlich würde ich daher sagen, dass alle Branchen betroffen sind, nicht nur die in der Studie befragten.

W&S: Wofür interessieren sich die Spione denn am meisten?

Funk: Besonders interessant sind natürlich Innovationen jeglicher Art, Prototypen oder Konstruktionspläne. Einfach alles, was einen Mitbewerber voranbringt. Daneben wecken aber auch Angebotsdetails bei Ausschreibungen oder einkaufsrelevante Daten von Lieferanten Begehrlichkeiten.

W&S: Und wer ist denn erfahrungsgemäß der Täter: eher ein interner oder externer Dieb?

Funk: Oft muss der Innentäter als „Sündenbock“ herhalten. Natürlich haben Innentäter oft einen einfachen Zugang zu den Informationen. Das kann man auch nur schwer unterbinden. Aber es gibt genauso die Außentäter, die die IT übers Internet angreifen, aber auch auf anderem Wege versuchen, an Informationen zu gelangen, Stichwort Social Engineering: Man verknüpft verschiedene Informationen, die man von Mitarbeitern erhält und die nicht nur die IT, sondern auch physische Absicherungsmaßnahmen wie Zutrittskontrolle oder den Werkschutz betreffen.

Nicht zu vergessen sind natürlich auch die Geheimdienstaktivitäten. Wenn ein Geheimdienst wertvolle Daten abgreifen will, die auf Vorstandsebene angesiedelt sind, dann lohnt sich ein zielgerichteter Angriff mit großem Aufwand auf eine Person. So werden zum Beispiel Handys manipuliert.

Der Betroffene muss daher immer wissen: Welches sind meine sensiblen Daten – und was sind typische Bedrohungsszenarien, mit denen ich mich befassen muss. Wie kann ich mich dagegen schützen? Wer angreift, ist dann sogar eher sekundär.

W&S: Sehen Sie Wirtschaftsspionage denn als ein reines IT-Problem an?

Funk: Nein, Wirtschaftsspionage ist kein reines IT-Thema. Wenn wir ein Unternehmen beraten, schauen wir uns zunächst die gesamten Geschäftsabläufe an. Dazu prüfen wir auch genau die Informationen, welche besonders schützenswert sind. Das sind natürlich nicht alle, sondern vielleicht zehn Prozent. Ein Verlust dieser Informationen würde ein Unternehmen sehr stark schädigen. Diese Informationen gilt es mit einem entsprechenden IT-Sicherheitskonzept zu schützen.

W&S: Wann lassen sich Unternehmen überhaupt in puncto Wirtschaftsspionage beraten?

Funk: Es gibt Unternehmen, die beispielsweise verstärkt in Richtung mobile Strategien denken. Hier geht es zum Beispiel um Apps für Kunden oder Mitarbeiter. Da kommt oft der Gedanke auf: Wie kann ich solche Prozesse von Anfang an sichern? Hier denkt man also eher präventiv.

Es gibt aber auch Kunden, zum Beispiel Energieversorger, die speziell ein Sicherheitsproblem behoben haben möchten oder wo es sogar konkret zu Wirtschaftsspionage gekommen ist. Hier geht es dann um ein generelles IT-Sicherheitskonzept.

W&S: Wie erstellt man solch ein passendes Konzept?

Funk: Es gibt zwei extreme Varianten, die oft in Unternehmen praktiziert werden: Die IT-Administratoren stellen fest, das beispielsweise die USB-Ports an Notebooks aus Sicherheitsgründen gesperrt werden müssen und suchen dafür eine technische Lösung. Aber hier fehlt das Fundament: Was sind denn eigentlich die wichtigen Informationen, die ich schützen will? Wenn ich alle „anfälligen“ Funktionen, die ein IT-System bietet, schließe, schränke ich die Produktivität der Mitarbeiter zu sehr ein.

Es gibt auch den andere Ansatz: Daten werden zunächst klassifiziert, was sehr schnell zu einem sehr komplexen Thema werden kann, da in einem großen Unternehmen auch große Datenmengen anfallen.

Unser Ansatz ist ein Kompromiss von beidem: Ich muss ein Konzept gegen Wirtschaftsspionage aufsetzen können, das rasch umsetzbar ist. Daher muss ich mich auf die Informationen konzentrieren, die relevant sind. Dann stellt sich die Frage, wie das organisatorisch, aber auch technisch angepackt werden kann, so dass mein Risiko auf ein Maß gesenkt wird, das noch akzeptabel ist: In einem Berechtigungskonzept wird festgelegt, wer auf welche Daten zugreifen darf. Daneben wird überwacht, wer welche Daten verschickt. Dann fällt sofort auf, wenn ein Unbefugter versucht, solche Daten zu übermitteln. Auf diese Weise hat man schnell eine Grundabsicherung.

Die Studie „IT-Security“ Die Studie „IT-Security“ wurde im Auftrag von Steria Mummert Consulting in Zusammenarbeit mit dem IMWF Institut für Management- und Wirtschaftsforschung durchgeführt. Vom 5. September bis zum 4. Oktober 2011 wurden insgesamt 205 IT-Leiter/CIO, IT-Manager, Vorstände/ Geschäftsführer/CEO, Datenschutzbeauftragte und sonstige IT-Führungskräfte befragt – und das aus Unternehmen ab 100 Mitarbeiter in den Branchen Banken und sonstige Finanzdienstleistungen, Versicherungen, Energie- und Wasserversorgung, Transport und Logistik, Telekommunikation/Medien/IT, Gesundheit/Gesundheitswesen, öffentliche Verwaltung, verarbeitendes Gewerbe und Handel. Gegenstand der Spionage sind hochschutzbedürftige Informationen wie zum Beispiel geistiges Eigentum, großvolumige Angebote, Preis- und Kostenkalkulationen oder besonders sensible Kundendaten. Die Sicherheitsexperten empfehlen daher, auf die Umsetzbarkeit der Konzepte gegen den unkontrollierten Abfluss dieser Informationen zu achten: Komplexität reduzieren, nur relevante Bedrohungsszenarien betrachten, und nicht nur auf die IT schauen, sondern interdisziplinär agieren.

W&S: Dennoch gibt es immer wieder Schadensfälle. Wie können Unternehmen noch mehr sensibilisiert werden?

Funk: Sehr plakativ ist es, wenn ich in einem Unternehmen am „lebenden Objekt“ zeige, was technisch möglich ist, Stichwort Live-Hacking oder Penetrationstest. Zum anderen muss auf höchster Geschäfts-führungsebene aufgezeigt werden, welche Risiken für das Unternehmen bestehen. Dies kann man in Risikenszenarien durchspielen. Ich plädieren auch dafür, dass ein „Sicherheitsausschuss“ gegründet wird, in dem sich Mitarbeiter aller relevanten Funktionen treffen: Geschäftsführung, Sicherheitsbeauftragter, Werkschutz. Hier muss auf den Tisch kommen, wer über welche Daten verfügt und wie „wertvoll“ er diese einschätzt.

Wenn der Sicherheitsverantwortliche vielleicht nicht weiß, dass im Einkauf hochsensible Daten liegen, kann er auch kein wirksames Sicherheitskonzept aufstellen. Es sollte sich also um ein „Gesamtwerk“ Sicherheit handeln. Dieses Bewusstsein herzustellen, ist einer der ersten Schritte bei einer IT-Beratung.

Interview: Annabelle Schott-Lung

Foto: Pixelio.de/ Elisabeth Patzal

Steria Mummert

72 Prozent befürchten Wirtschaftsspionage

Knapp drei Viertel der deutschen Unternehmen und Behörden sehen laut einer aktuellen Studie von Steria Mummert Wirtschaftsspionage als ernstzunehmendes Risiko für den eigenen Geschäftsbetrieb. Gut jeder dritte Befragte stuft die Bedrohung, ausspioniert zu werden, sogar als hoch ein.

Foto: Gerd Altmann/ Pixelio

Wirtschaftsspionage

Schwachstellen aufdecken und analysieren

In Zeiten stetiger Globalisierung und wirtschaftlicher Verflechtungen ist es für Unternehmen wichtig, ihr Know-how zu schützen. Mögliche Bedrohungen erwachsen dabei auch aus staatlich gelenkter Wirtschaftsspionage. W&S befrage dazu Michael George vom Bayerischen Landesamt für Verfassungsschutz.

Foto: Fotolia.de/Sergey Nivens

Europäische Richtlinie zum Know-how-Schutz

Investition in Wissen

Die Europäische Kommission hat im Rahmen der „EU 2020“-Strategie einen Richtlinienentwurf vorgelegt, der neue Vorschriften zum Schutz von vertraulichem Know-how und von Geschäftsgeheimnissen umfasst. Welche Konsequenzen das für deutsche Unternehmen nach sich zieht, erfuhr PROTECTOR von Dr. Michael Dorner, Rechtsanwalt bei der Kanzlei CMS Hasche Sigle.

Foto: Ultima Ratio

Ultima Ratio

Fünf Indizien für Betriebsspionage

Mitarbeiter wechseln zur Konkurrenz, Stammkunden ziehen Aufträge zurück, Firmeninterna landen in der Öffentlichkeit – Zufall oder Datendiebstahl? Das fragen sich viele Unternehmer in diesen Fällen. Gerade mittelständische Firmen sollten genau aufpassen, ob sich nicht ein Datenleck hinter diesen Vorfällen verbirgt.