Sichere IT reicht nicht 19.06.2013, 10:00 Uhr

Betriebsspionage setzt häufig beim Menschen an

Mit Hilfe sozialer Kontakte gelangen Spione an vertrauliche Informationen. Diesem sogenannten Social Engineering kann nicht alleine mit technischen Mitteln begegnet werden. Die Sensibilisierung der Mitarbeiter stehe an erster Stelle. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HSV Consulting für Business-Security auf dem Kongress der Studenten und Jungingenieure.

In der Kantine oder Kneipe wieder zu viel erzählt, dem sympathischen, aber unbekannten Kollegen die Sicherheitstür aufgehalten oder dem vermeintlichen IT-Fachmann am Telefon das eigene Passwort verraten – die Sicherheitslücken in Unternehmen liegen meist beim Faktor Mensch.

Auch Betriebsspione wissen das und setzen an diesem Punkt an. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HVS Consulting für Buisness-Security, auf dem Kongress der Studenten und Jungingenieure beim Deutschen Ingenieurtag. Generell sei Industriespionage eine Wachstumsbranche.

Umsatzverlust von 50 Milliarden Euro durch Industriespionage bei deutschen Firmen

Das Bundesamt für Verfassungsschutz geht davon aus, dass deutsche Firmen allein 2010 einen Umsatzverlust von über 50 Mrd. € durch ungewollten Know-how-Abfluss erlitten haben. „Und das Ausspionieren von Unternehmen ist leichter als gemeinhin vermutet“, sagte Schnitzer.

Der Sicherheitsexperte aus München spricht dabei aus eigener Erfahrung. Als Social Engineer macht er Unternehmen auf Schwachstellen aufmerksam. Dabei greift Schnitzer tief in die Trickkiste und versucht unter Vorspiegelung falscher Tatsachen Zugriff auf relevante Informationen zu bekommen.

Spionage mit und ohne technische Hilfsmittel

Bei der Betriebsspionage unterscheidet man zwischen dem Human-Based und dem Tool-Based Social Engineering.

Beim Human-Based Social Engineering verwendet der Spion keinerlei technische Hilfsmittel. Hier versucht er die Mitarbeiter mithilfe von psychologischen Methoden, so zu manipulieren, dass sie ihm die gewünschten Informationen verraten. Der Spion setzt Lockmittel ein, strahlt Hilfsbedürftigkeit aus oder erzeugt Druck oder Schuldgefühle bei seinen ahnungslosen Opfern.

Beim Tool-Based Social Engineering setzt der Spion zusätzlich technische Hilfsmittel ein. So bringt er z. B., nachdem er sich durch seine psychologischen Tricks und sein schauspielerisches Talent Zugang zu Büroräumen verschafft hat, kleine Kameras und Mikrofone an oder installiert auf den Rechnern Spionagesoftware wie z. B. Trojaner und Keylogger.

Abwehr: Sichere IT als allein reicht nicht aus

Um der Betriebsspionage entgegenzuwirken wäre eine sichere IT Voraussetzung. Sie reiche aber bei Weitem nicht aus, so Schnitzer. „Verlassen sich die Mitarbeiter auf die Technik, hat es ein Spion, der Social-Engineering-Methoden einsetzt, meist noch leichter“, betont der Sicherheitsexperte weiter.

An erster Stelle stünde daher die Sensibilisierung der Mitarbeiter. Sie sollen durch gezielte Schulungen lernen zu erkennen, wann sie jemand versucht gezielt auszuhorchen oder ihre Freundlichkeit auszunutzen.

Dabei sei es nötig, die Mitarbeitersensibilisierung in eine Einführung unternehmensweiter Sicherheitsmaßnahmen einzubetten, betont Schnitzer. So sollten Unternehmen z. B. Sicherheitsrichtlinien einführen, sicherheitsrelevante Prozesse optimieren, diese dokumentieren und eine Regelung für den Katastrophenfall bestimmen.

Um die Effizienz der Maßnahmen zu steigern, könnten Unternehmen auch externe Dienstleister ins Boot holen. Diese verfügten oft über das größere Know-how und wirke einer möglichen Betriebsblindheit bei der Erstellung von Sicherheitsmaßnahmen entgegen. „Sicherheitsbewusste Unternehmen schaffen sich so einen deutlichen Wettbewerbsvorteil“, sagt Schnitzer. Der Dienstleister müsse aber, wie jeder andere externe auch, im Hinblick auf die Vertrauenswürdigkeit und Referenzen überprüft werden. 

Von Christoph Böckmann
Von Christoph Böckmann

Themen im Artikel

Stellenangebote im Bereich Technischer Vertrieb & Beratung

VPA Prüf- und Zertifizierungs GmbH-Firmenlogo
VPA Prüf- und Zertifizierungs GmbH Prüfstellenleitung / Laborleitung (w/m/d) Remscheid
JÖST GmbH + Co. KG-Firmenlogo
JÖST GmbH + Co. KG Vertriebsingenieur (m/w/d) Chemie und Nahrung Dülmen (bei Münster)
Vaillant Deutschland GmbH & Co. KG-Firmenlogo
Vaillant Deutschland GmbH & Co. KG Technischer Vertriebsingenieur (m/w/d) Innendienst Großraum Bielefeld
JÖST GmbH + Co. KG-Firmenlogo
JÖST GmbH + Co. KG Vertriebsingenieur (m/w/d) Sichter- und Siebtechnik Dülmen (bei Münster)
JÖST GmbH + Co. KG-Firmenlogo
JÖST GmbH + Co. KG Vertriebsingenieur (m/w/d) Mining & Recycling Dülmen (bei Münster)
Vaillant Deutschland GmbH & Co. KG-Firmenlogo
Vaillant Deutschland GmbH & Co. KG Technischer Vertriebsingenieur (m/w/d) Innendienst Köln
MAXIMATOR GmbH-Firmenlogo
MAXIMATOR GmbH Sales Engineer / Vertriebsingenieur / Mitarbeiter im technischen Vertrieb (m/w/d) Schwerpunkt Einheiten und Komponenten Sinsheim
Rollon GmbH-Firmenlogo
Rollon GmbH Außendienstmitarbeiter / Key Account Manager (m/w/d) Deutschland
TrainingsManufaktur Dreiklang GmbH & Co. KG-Firmenlogo
TrainingsManufaktur Dreiklang GmbH & Co. KG Senior Berater und Trainer als Lean Six Sigma (Master) Black Belt (m/w/d) im Management Consulting Hamburg
TrainingsManufaktur Dreiklang GmbH & Co. KG-Firmenlogo
TrainingsManufaktur Dreiklang GmbH & Co. KG Projektleiter als Lean Six Sigma (Master) Black Belt (m/w/d) im Management Consulting Hamburg

Alle Technischer Vertrieb & Beratung Jobs

Top 5 Verbrauche…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.