Willkommen in der Realität

Wolfram Funk: Definitiv ja. Wirtschaftsspionage ist ein dominierendes Thema. So hat das Bundesinnen-ministerium kürzlich die Schäden, die dadurch entstehen, zwischen 20 und 50 Milliarden Euro im Jahr geschätzt. An dieser Spanne sehen Sie schon, dass es sehr schwierig, den Schaden genau zu quantifizieren. Eine von uns durchgeführte Studie zeigt ganz deutlich, dass Wirtschaftsspionage mittlerweile Realität ist. Jedes vierte Unternehmen hat konkrete Fälle von Wirtschaftsspionage registriert oder zumindest einen Verdacht. Es handelt sich also nicht mehr um eine Randerscheinung.

Langsam setzt sich die Erkenntnis durch, dass es bei Wirtschaftsspionage nicht um Szenarien à la James Bond geht, sondern dass das ein neuer „Wirtschaftsszweig“ ist, der wirtschaftlich oder auch politisch motiviert ist.

Funk: Beide. Grundsätzlich geht es immer um die Motivation, die ein Angreifer hat. Und wirtschaftliche Interessen gibt es in allen Bereichen, Spionage ist daher bei allen Unternehmensgrößen gegeben.

Der Unterschied zwischen einem großen und einen kleinen Unternehmen liegt darin, dass bei den Großen grundsätzlich die Attraktivität da ist, Wirtschaftsspionage zu betreiben. Hier geht es um große Vertragsvolumina. Daher wäre es aus Angreifersicht sinnvoll zu wissen, zu welchem Preis der Mittbewerber anbietet. Hier „lohnt“ es sich, Spione einzuschleusen. Wobei die Großen natürlich auch immer besser gegen Spionageangriffe aufgestellt sind.

Aber auch bei den Kleinen gibt es Innovationen abzugreifen. Da kann auch ein Mittelständler mit seiner speziellen Erfindung Marktführer sein. Daher ist auch hier mit Angriffen zu rechnen. Leider gibt es bei den Kleinen oft nicht die entsprechenden Schutzmaßnahmen, um die Risiken sinnvoll zu reduzieren. Insofern sind sie eine leichtere Beute für Wirtschaftsspione.

Funk: Hier müssen wir differenzieren. In unserer Studie hatten wir gefragt, ob konkrete Fälle der Wirtschaftsspionage registriert wurden oder ob es Verdachtsfälle gab. Hier gab es die Tendenz, dass sich die Branchen IT, Medien, Telekommunikation und Logistik stärker betroffen einschätzten. Die öffentliche Hand dagegen weniger.

Um Wirtschaftsspionage aber überhaupt erkennen zu können, muss man eine gewisse „Reife“ in puncto Informationssicherheit haben. Die ist in den genannten Branchen eher gegeben; daher erkennt man dort überhaupt erst, dass ein Angriff stattgefunden hat.

Diese „Reife“ ist aber eine Hürde, die viele Unternehmen aus dem Mittelstand nicht meistern. Weil dort Daten nicht protokolliert oder ausgewertet werden. Grundsätzlich würde ich daher sagen, dass alle Branchen betroffen sind, nicht nur die in der Studie befragten.

Funk: Besonders interessant sind natürlich Innovationen jeglicher Art, Prototypen oder Konstruktionspläne. Einfach alles, was einen Mitbewerber voranbringt. Daneben wecken aber auch Angebotsdetails bei Ausschreibungen oder einkaufsrelevante Daten von Lieferanten Begehrlichkeiten.

Funk: Oft muss der Innentäter als „Sündenbock“ herhalten. Natürlich haben Innentäter oft einen einfachen Zugang zu den Informationen. Das kann man auch nur schwer unterbinden. Aber es gibt genauso die Außentäter, die die IT übers Internet angreifen, aber auch auf anderem Wege versuchen, an Informationen zu gelangen, Stichwort Social Engineering: Man verknüpft verschiedene Informationen, die man von Mitarbeitern erhält und die nicht nur die IT, sondern auch physische Absicherungsmaßnahmen wie Zutrittskontrolle oder den Werkschutz betreffen.

Nicht zu vergessen sind natürlich auch die Geheimdienstaktivitäten. Wenn ein Geheimdienst wertvolle Daten abgreifen will, die auf Vorstandsebene angesiedelt sind, dann lohnt sich ein zielgerichteter Angriff mit großem Aufwand auf eine Person. So werden zum Beispiel Handys manipuliert.

Der Betroffene muss daher immer wissen: Welches sind meine sensiblen Daten – und was sind typische Bedrohungsszenarien, mit denen ich mich befassen muss. Wie kann ich mich dagegen schützen? Wer angreift, ist dann sogar eher sekundär.

Funk: Nein, Wirtschaftsspionage ist kein reines IT-Thema. Wenn wir ein Unternehmen beraten, schauen wir uns zunächst die gesamten Geschäftsabläufe an. Dazu prüfen wir auch genau die Informationen, welche besonders schützenswert sind. Das sind natürlich nicht alle, sondern vielleicht zehn Prozent. Ein Verlust dieser Informationen würde ein Unternehmen sehr stark schädigen. Diese Informationen gilt es mit einem entsprechenden IT-Sicherheitskonzept zu schützen.

Funk: Es gibt Unternehmen, die beispielsweise verstärkt in Richtung mobile Strategien denken. Hier geht es zum Beispiel um Apps für Kunden oder Mitarbeiter. Da kommt oft der Gedanke auf: Wie kann ich solche Prozesse von Anfang an sichern? Hier denkt man also eher präventiv.

Es gibt aber auch Kunden, zum Beispiel Energieversorger, die speziell ein Sicherheitsproblem behoben haben möchten oder wo es sogar konkret zu Wirtschaftsspionage gekommen ist. Hier geht es dann um ein generelles IT-Sicherheitskonzept.

Funk: Es gibt zwei extreme Varianten, die oft in Unternehmen praktiziert werden: Die IT-Administratoren stellen fest, das beispielsweise die USB-Ports an Notebooks aus Sicherheitsgründen gesperrt werden müssen und suchen dafür eine technische Lösung. Aber hier fehlt das Fundament: Was sind denn eigentlich die wichtigen Informationen, die ich schützen will? Wenn ich alle „anfälligen“ Funktionen, die ein IT-System bietet, schließe, schränke ich die Produktivität der Mitarbeiter zu sehr ein.

Es gibt auch den andere Ansatz: Daten werden zunächst klassifiziert, was sehr schnell zu einem sehr komplexen Thema werden kann, da in einem großen Unternehmen auch große Datenmengen anfallen.

Unser Ansatz ist ein Kompromiss von beidem: Ich muss ein Konzept gegen Wirtschaftsspionage aufsetzen können, das rasch umsetzbar ist. Daher muss ich mich auf die Informationen konzentrieren, die relevant sind. Dann stellt sich die Frage, wie das organisatorisch, aber auch technisch angepackt werden kann, so dass mein Risiko auf ein Maß gesenkt wird, das noch akzeptabel ist: In einem Berechtigungskonzept wird festgelegt, wer auf welche Daten zugreifen darf. Daneben wird überwacht, wer welche Daten verschickt. Dann fällt sofort auf, wenn ein Unbefugter versucht, solche Daten zu übermitteln. Auf diese Weise hat man schnell eine Grundabsicherung.

Funk: Sehr plakativ ist es, wenn ich in einem Unternehmen am „lebenden Objekt“ zeige, was technisch möglich ist, Stichwort Live-Hacking oder Penetrationstest. Zum anderen muss auf höchster Geschäfts-führungsebene aufgezeigt werden, welche Risiken für das Unternehmen bestehen. Dies kann man in Risikenszenarien durchspielen. Ich plädieren auch dafür, dass ein „Sicherheitsausschuss“ gegründet wird, in dem sich Mitarbeiter aller relevanten Funktionen treffen: Geschäftsführung, Sicherheitsbeauftragter, Werkschutz. Hier muss auf den Tisch kommen, wer über welche Daten verfügt und wie „wertvoll“ er diese einschätzt.

Wenn der Sicherheitsverantwortliche vielleicht nicht weiß, dass im Einkauf hochsensible Daten liegen, kann er auch kein wirksames Sicherheitskonzept aufstellen. Es sollte sich also um ein „Gesamtwerk“ Sicherheit handeln. Dieses Bewusstsein herzustellen, ist einer der ersten Schritte bei einer IT-Beratung.