Wirtschaftskriminalität 30.10.2009, 19:43 Uhr

„Bei jedem Mittelständler kommt man an sensible Informationen“  

Durch Spionage entstehen deutschen Firmen jährlich Schäden in Höhe von mindestens 20 Mrd. €, schätzt die Arbeitsgemeinschaft für Sicherheit der Wirtschaft. Der ungewollte Informationsabfluss beginnt schon da, wo Wettbewerbern Angebote an gemeinsame Kunden zugespielt werden. Nicht nur Konzerne auch kleine Unternehmen sind bedroht. Fragen an den Sicherheitsexperten Prof. Alexander Huber von der Beuth-Hochschule für Technik in Berlin. VDI nachrichten, Berlin, 30. 10. 09, ps

Huber: Es ist kein Geheimnis, dass die Anzahl der Spionagefälle steigt. Zu den Angriffen gibt es zwar keine belastbaren Zahlen, aber es gibt klare Indikatoren: Da sind zunächst die Nachrichtendienste, die nach dem Kalten Krieg einen Großteil ihrer Existenzberechtigung verloren und nun Wirtschaftsspionage als extrem lukratives Aufgabenfeld entdeckt haben.

Dann ist es relativ einfach geworden, Informationen über Datennetze abzuschöpfen. Dazu kommt, dass sich die Bindung der Mitarbeiter zu ihren Unternehmen über die letzten Jahrzehnte kontinuierlich verringert hat und weiter abnehmen wird. Unternehmen, in denen man von der Lehre bis zur Rente arbeitet, gibt es kaum mehr. Damit schwinden auch Loyalität und Verantwortungsgefühl.

Wie gut schützen deutsche Unternehmen ihre sensiblen Informationen?

Es gibt in Deutschland etwa 1600 bis 2000 Unternehmen, die für den Staat Aufträge erbringen, die als „Verschlusssachen“ eingestuft sind. Diese so genannten geheimschutzbetreuten Unternehmen stehen in der Regel sehr gut da. Auf der zweiten Ebene finden sich international tätige Konzerne, die Sicherheit als eigene Aufgabe verstehen und über Werkschutz und IT-Sicherheit hinaus eigene Funktionen dafür geschaffen haben.

Die Unternehmen, die am wenigsten geschützt sind, gehören definitiv zum Mittelstand. Von einigen Ausnahmen abgesehen, kommt man bei jedem Mittelständler mit relativ geringem Aufwand an sensible Informationen.

Was macht kleine und mittlere Unternehmen für Spione interessant?

Gerade der Mittelstand in Deutschland ist durch eine extreme Innovationskraft gekennzeichnet. Kommen die Angriffe aus nicht ganz so weit entwickelten Ländern, wie China und Russland, geht es im Wesentlichen um Entwicklungsdaten, Produktionsprozesse und ähnliches. Wenn Wettbewerber auf demselben wirtschaftlichen Niveau Informationen abschöpfen, interessieren sie sich eher für Vertrieb und Unternehmensstrategie.

Lässt sich beziffern, wie hoch die Schäden sind, die durch Spionage entstehen?

Nicht wirklich, dafür ist die Dunkelziffer zu hoch. Nur wenige Unternehmen, die betroffen sind, merken das überhaupt und wenden sich dann tatsächlich an staatliche Stellen. Aber selbst, wenn es keine Dunkelziffer gäbe – Schäden, die durch ungewollten Informationsabfluss entstehen, sind nur sehr schwer zu bewerten. Was ist die Preisinformation eines Produkts wert? Wie lässt sich der Imageschaden bewerten, wenn Kunden oder Lieferanten erfahren, dass ihre Daten über ein Leck in unbekannte Kanäle verschwunden sind?

Wer sind die Auftraggeber, die hinter solchen Attacken stecken?

Einmal die Wettbewerber, das wird dann als Konkurrenzspionage bezeichnet, oder es handelt sich um staatlich gelenkte Wirtschaftsspionage unter Mitwirkung der Geheimdienste.

Profitieren in Fällen der Wirtschaftsspionage nur staatliche Unternehmen von den Aktivitäten ihrer Geheimdienste?

Nein! Nutznießer sind im großen Maße privatwirtschaftliche Unternehmen. Es gibt in vielen Ländern – nicht nur in Russland und China, sondern auch in vielen eng mit Deutschland verbundenen Ländern – Gesetze, die dem Geheimdienst vorschreiben, zum Wohle der inländischen Wirtschaft zu arbeiten.

Welche Länder sind das?

Vor allem Russland: Dort schreibt Artikel 5 im „Gesetz über die Auslandsaufklärung“ die „Förderung der wirtschaftlichen Entwicklung und des wissenschaftlich-technischen Fortschritts des Landes durch Beschaffung wirtschaftlicher und wissenschaftlich-technischer Informationen durch die Auslandsaufklärung“ fest. Daneben wird die Mitwirkung der Geheimdienste bei der „wirtschaftlichen Weiterentwicklung des Landes“ auch China und von manchen Seiten auch England, Frankreich und den USA nachgesagt.

Für Wirtschaftsspionage ist der Verfassungsschutz zuständig, Konkurrenzspionage fällt in das Ressort der Polizei. Woran erkennen betroffene Unternehmen, wer sie ausspäht?

Das erkennen sie in der Regel nicht. Es gibt wenige Fälle, wo der chinesische Praktikant mit zwanzig DVDs, die er gerade gebrannt hat, abends um acht Uhr aus der Tür des Unternehmens spaziert und dort von der Videokamera gefilmt wird. Meist gibt es nur Indikatoren – wenn etwa ein Konkurrent immer wieder bestimmte Aufträge gewinnt oder die eigene Technologie auf einer internationalen Messe bei einem Wettbewerber aus dem Ausland vorgestellt wird.

An wen wende ich mich in solchen Fällen?

Da gibt es im Prinzip zwei Möglichkeiten: Wenn ich den – schwer zu beweisenden – Verdacht habe, dass es um fremde Nachrichtendienste geht, dann kann ich mich an den Verfassungsschutz wenden. Anders als die Polizei unterliegt der Verfassungsschutz dem Opportunitäts- und nicht dem Legalitätsprinzip. Das bedeutet, der Verfassungsschutz darf Ermittlungen jederzeit wieder einstellen, die Polizei nicht.

Welche anderen Optionen gibt es?

Oft beauftragen die Unternehmen zunächst ihre interne Sicherheit oder Revision. Die nächste Möglichkeit wäre, einen externen Sicherheitsberater ins Boot zu holen. Nur in sehr klaren Fällen ist es derzeit gängige Praxis, tatsächlich die Behörden einzuschalten.

Woran erkennt man seriöse Sicherheitsdienstleister?

Das ist schwierig, diese Szene ist relativ abgeschlossen. Persönliche Empfehlung ist sicherlich immer noch der beste Weg, einen seriösen Berater zu finden. Es gibt Sicherheitsunternehmen, die im Wesentlichen von Hand zu Hand weiter gereicht werden und selbst kaum Werbung machen müssen. Interessant ist dabei, dass sich die externen Sicherheitsexperten dann oft vollkommen frei und unbeaufsichtigt im Unternehmen ihres Auftraggebers bewegen dürfen.

Egal, wie seriös und gut ein Sicherheitsberater ist: So viel Vertrauen kann und darf man eigentlich nicht haben. Besser ist es, dem Sicherheitsberater jemanden von der eigenen Sicherheit oder der Revision rund um die Uhr an die Seite zu stellen, der alle Vorgänge beobachtet und protokolliert.

Welche Methoden setzen Industriespione ein, um an ihre Ziele zu kommen?

Im Prinzip gibt es drei Klassen von Angriffsszenarien: Einmal über Innentäter, also Mitarbeiter, Praktikanten oder beauftragte Dritte, die für das Unternehmen tätig sind. Sie lassen sich für eine bestimmte Vergütung auf freiwilliger Basis anwerben. Es kann aber auch Nötigung oder Erpressung im Spiel sein. Außerdem finden Angriffe zunehmend über das Internet statt. Das dritte Thema ist die sonstige Technologie – vom Abhören von Telefonen bis hin zum Ausspähen über Mikrofone in Briefbeschwerern oder Scannern mit E-Mail-Anschluss in Klasse-4-Aktenvernichtern.

Wie kann man sich wirksam schützen?

Hundert Prozent Sicherheit wird es nie geben. Die Unternehmen müssen anders an dieses Thema herangehen: Erstens müssen sie Unternehmenssicherheit als Differenzierungsmerkmal verstehen. Sie sind ihren Wettbewerbern einen Schritt voraus, wenn sie ihren Geschäftspartnern signalisieren können, dass Informationen und Wissen bei ihnen sicher aufgehoben sind.

Dafür müssen sie zweitens so hohe Barrieren aufbauen, dass sich der Angriff auf ihr Unternehmen nicht mehr rechnet. Das läuft einerseits über einen funktionierenden Werkschutz und eine gut gesicherte Informationstechnologie. Am wichtigsten ist jedoch immer der Faktor Mensch: 80 % der Einfallstore werden geschlossen, wenn die Mitarbeiter ausreichend sensibilisiert und bereit sind, „ihr“ Unternehmen zu schützen.

MICHAELA NEUNER

Von Michaela Neuner
Von Michaela Neuner

Stellenangebote im Bereich Softwareentwicklung

Pixida-Firmenlogo
Pixida Functional Owner – Digital Services und Connected Devices (m/w/d) München
Porsche AG-Firmenlogo
Porsche AG Softwareingenieur (m/w/d) ASPICE für Entwicklungsprozesse Weissach
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Embedded Softwareentwickler (m/w/d) Norderstedt
Porsche AG-Firmenlogo
Porsche AG IT Security Expert (m/w/d) Digital Workplace Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Embedded Software Developer (w/m/d) Böblingen
DIgSILENT GmbH-Firmenlogo
DIgSILENT GmbH Ingenieur Elektrotechnik (w/m/d) Anwendungsentwickler C++ Gomaringen
Porsche AG-Firmenlogo
Porsche AG Service-Experte (w/m/d) Data-Streaming Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Techniker / Ingenieur im Bereich Power Quality (m/w/d) Nürnberg
DMK Deutsches Milchkontor GmbH-Firmenlogo
DMK Deutsches Milchkontor GmbH PLC Software Engineer (m/w/d) Anlagentechnik Lebensmittelproduktion Georgsmarienhütte

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.