Risiko Informationsabfluss: Deutsche Unternehmen verstärkt im Visier von Spionageattacken

16 September, 2010

Die deutsche Wirtschaft sieht sich zunehmend Spionageattacken ausgesetzt, zeigen Berichte des Bundesamtes für Verfassungsschutz. Verschärft wurde das Risiko von Informations- und Know-how-Verlust in der Finanz- und Wirtschaftskrise. Personalabbau und gravierende Mittelkürzungen für Präventionsmaßnahmen führten zu einer weiteren Schwächung der Unternehmen. Besonders gefährdet sind innovative und global tätige Firmen. PwC-Experten erläutern, worauf es bei der wirksamen Prävention von Spionageattacken ankommt.

Nicht nur staatliche Stellen laufen Gefahr ausspioniert zu werden, sondern auch besonders innovative Unternehmen mit Technologievorsprung. Firmen mit internationaler Ausrichtung gehen ein zusätzliches Risiko ein. Denn gerade bei grenzüberschreitenden Aktivitäten sind besondere Sicherheitsmaßnahmen angezeigt.

Präventionsmaßnahmen im Überblick:

  • Individuelle Schutzstrategie entwickeln und permanent fortschreiben.
  • Schutz des geistigen Eigentums als wichtigen Bestandteil der Unternehmensphilosophie und Geschäftsstrategie verankern.
  • Mitarbeiter durch Compliance- und Awareness-Programme sensibilisieren.
  • Den Erfolg etablierter Sicherheitsvorkehrungen durch regelmäßige Audits in Risikobereichen (Vertrieb, Marketing, Forschung und Entwicklung, Produktion) kontinuierlich messen.
  • Sicherheitsverstöße sanktionieren und Verstöße konsequent verfolgen.

Die Angriffe erfolgen zunehmend auf dem elektronischen Weg und sind meist nicht auf Anhieb nachvollziehbar. Einem Verfassungsschutzbericht ist zu entnehmen, dass die elektronischen Angriffe "bis heute in unverminderter Intensität" anhalten.

Die Wunschliste der Konkurrenzunternehmen - möglicher Industriespione - und fremden Nachrichtendienste - potenziellen Wirtschaftsspionen - ist lang. Ganz oben auf der Liste steht das technische Know-how. So lassen sich Kosten für eigene Entwicklungen oder Lizenzgebühren sparen. Sind erst einmal Informationen über Fertigungstechniken beschafft, sorgen die kostengünstigeren Nachbauten für verschärfte Konkurrenz am Markt.

Aber die Blicke der Späher richten sich ebenso auf Informationen über Unternehmens- und Marktstrategien. Zudem erzeugt die Preisgestaltung - etwa bei größeren Ausschreibungen - hohe Begehrlichkeiten. Spitzel interessieren sich ebenfalls für Informationen über Entscheidungsträger und -prozesse und die Leiter von Vertriebs-, Marketing-, und Entwicklungsabteilung.

So beschaffen sich die "Spione" ihre Informationen

Das Vokabular der Informationsgenerierung ist mittlerweile sehr vielgestaltig. Es setzt sich aus verdeckten und offenen Beschaffungsmethoden zusammen.

Die wichtigsten sind:

  • Spionagetätigkeiten bei der Teilnahme an öffentlich zugänglichen Veranstaltungen wie Messen, Fachkonferenzen, Diskussionsforen, Kongressen oder Hausmessen.
  • Beteiligungen an Forschungsprojekten als Joint Venture.
  • Abschöpfung von Informationen aus Workshops und Gesprächen.
  • Gezieltes Ausnutzen natürlicher menschlicher Reaktionen wie Hilfsbereitschaft, Kundenfreundlichkeit, Angst und ähnliches, um an sensible Unternehmensdaten zu gelangen (sogenanntes Social Engineering).
  • Verdeckte Informationsbeschaffung durch eingeschleuste Mitarbeiter mit falscher Identität, zum Beispiel Praktikanten oder Zeitarbeiter.
  • Anwerbung von Mitarbeitern des Konkurrenzunternehmens durch finanzielle Zuwendungen oder Erpressung.
  • Überwachung von Kommunikationseinrichtungen durch klassische Spionagewerkzeuge oder durch Einschleusen von Schadprogrammen (Trojaner, Rootkits).

Ausspähung am Beispiel der "globalen Rasterfahndung"

Eine Reihe internationaler Unternehmen hat sich mittlerweile auf die professionelle Sammlung und Aufbereitung von Daten über Konkurrenzunternehmen für zahlungswillige Kunden spezialisiert. Die Anbieter gehen soweit, dass sie eine Überwachung sämtlicher online verfügbarer Daten auf Webseiten, Diskussionsforen in Blogs und Chat-Rooms weltweit und in allen Sprachen anbieten. 

Eine effektive Präventivmaßnahme ist das Aussperren bestimmter Internetprotokoll-Adressräume der entsprechenden Anbieter. Bei Internetprotokoll-Adressen handelt es sich um die Daten, die in Computernetzen von ihrem Absender zum vorgesehenen Empfänger transportiert werden. Weiterhin können gefährdete Unternehmen den sensiblen Umgang mit Informationen über sich selbst anordnen - etwa beim Informationsaustausch in öffentlichen Foren.

Welche Präventionsstrategien greifen

Der Wert von Daten ist in Abhängigkeit zur Schützbedürftigkeit der Informationen anzusehen. Das Schadensvolumen von gestohlenen brisanten Daten kann für einige Unternehmen bestandsgefährdenden Charakter erreichen. Ein individuelles, auf die konkreten Bedürfnisse des Unternehmens und deren Nutzer zugeschnittenes Schutzkonzept ist daher unerlässlich. Grundsätzlich gilt es, schutzbedürftige Informationen und Datenbestände des eigenen Unternehmens zu klassifizieren und geeignete organisatorische und technische Präventionsmaßnahmen zu implementieren.

Diese sollten sich sowohl auf materielle und immaterielle Wirtschaftsgüter richten sowie auch das eigene Personal einbeziehen. Einige effektive Sofortmaßnahmen sind beispielsweise der Einsatz von Verschlüsselungsverfahren zum Schutz sensibler Informationen. Zu vernichtende Daten und Dokumente sollten mit Verfahren und Methoden unwiderruflich gelöscht werden.

Durch geeignete Einstellungskontrollen für die Besetzung besonderer Positionen lassen sich die Risiken weiter reduzieren. Zudem empfehlen PwC-Experten intensive Hintergrund-Recherchen über zukünftige Geschäftspartner durchzuführen, zum Beispiel wenn es sich um geplante strategische Partnerschaften als Markteintritt für das Unternehmen handelt. Nur ein ganzheitlicher Ansatz gewährt letztlich, dass eine Ausspähung frühzeitig erkannt wird.

Im Gespräch mit Ralph Noll, Anti-Fraud-Experte im Bereich Forensic Services bei PwC

Wie hoch schätzen Sie die Gefahr für deutsche Unternehmen ein, Opfer von Wirtschafts- oder Industriespionage zu werden?

Ralph Noll: Anfragen von betroffenen Unternehmen zeigen deutlich, dass es sich bei weitem nicht um Einzelfälle handelt. Viele Unternehmen merken erst viel zu spät, dass sie ausgespäht wurden. Die Dunkelziffer ist sehr hoch, zumal viele Unternehmen Schadensfälle nicht zur Anzeige bringen, um Reputationsschaden abzuwenden. Die Argumente sind zwar verständlich, jedoch führt solches Verhalten zu einer trügerischen Sicherheit. Der exportorientierte deutsche Mittelstand als Vorreiter in Spitzentechnologien wie im Bereich der erneuerbaren Energien ist besonders gefährdet. Wie anfällig deutsche Unternehmen sind, zeigt zum Beispiel der im Juni 2010 veröffentlichte Bericht des Bundesamtes für Verfassungsschutz.

Ist eine wirksame Abwehr von Informationsabfluss möglich?

Noll: Die Abwehr von Datendiebstahl und Know-how-Abfluss ist schwierig, aber nicht aussichtslos. Mit einer Kombination aus technischen und organisatorischen Maßnahmen ist bereits eine deutliche Risikominimierung möglich. Dabei sollte vor allem der unkontrollierte Abfluss von elektronischen Daten und Informationen ins Visier genommen werden. Hier zeigen sich aus der Praxis die meisten Schwachstellen. Das schwächste Glied in der Kette ist und bleibt jedoch der Faktor Mensch. Leichtsinnige Herausgabe von Firmeninterna - beispielsweise in der VIP-Lounge am Flughafen - sind leider keine Seltenheit. Wirksame Präventionsmaßnahmen bieten Compliance- und Awareness-Programme, die individuell auf das entsprechende Unternehmen zugeschnitten sein sollten. Informationsschutz muss im Unternehmen gelebt werden.

Welche Sicherheitsmaßnahmen sollten Unternehmen ergreifen?

Noll: Viele Unternehmen unterschätzen die Gefahren und Auswirkungen von Informationsabfluss. Die erste Frage, die ich meinen Kunden stelle, ist: "Wie nimmt die Unternehmensführung die gegenwärtige Unternehmenssituation und Informationssicherheit wahr?" Dies ist ein erster Einstieg in eine konstruktive Diskussion. Um eine gezielte Strategie zu implementieren, ist es wichtig, zunächst den eigenen Schutzbedarf zu ermitteln, um Kosten-/Nutzen-Aspekte angemessen auszutarieren.

Was können betroffene Unternehmen bei ersten Verdachtsmomenten tun? Worauf sollten sie unbedingt achten?

Noll: Besteht ein Anfangsverdacht oder gibt es konkrete Hinweise auf eine Ausspähung, sollten Firmen grundsätzlich ziellosen Aktionismus vermeiden. Um den Ermittlungserfolg nicht zu gefährden, ist eine systematische Vorgehensweise unter Einbeziehung von Forensik-Experten zu empfehlen. Im ersten Schritt ist zu ermitteln, wie hoch das Schadensausmaß ist und welche Abteilungen und Personen von der Ausspähung betroffen sind. Anschließend können gezielte kurzfristige Gegenmaßnahmen eingeleitet werden.

Contact us

Claudia Nestler

Lead Forensics PwC Europe

Tel.: +49 69 9585-5552

Follow us