Sichere IT reicht nicht 19.06.2013, 10:00 Uhr

Betriebsspionage setzt häufig beim Menschen an

Mit Hilfe sozialer Kontakte gelangen Spione an vertrauliche Informationen. Diesem sogenannten Social Engineering kann nicht alleine mit technischen Mitteln begegnet werden. Die Sensibilisierung der Mitarbeiter stehe an erster Stelle. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HSV Consulting für Business-Security auf dem Kongress der Studenten und Jungingenieure.

In der Kantine oder Kneipe wieder zu viel erzählt, dem sympathischen, aber unbekannten Kollegen die Sicherheitstür aufgehalten oder dem vermeintlichen IT-Fachmann am Telefon das eigene Passwort verraten – die Sicherheitslücken in Unternehmen liegen meist beim Faktor Mensch.

Auch Betriebsspione wissen das und setzen an diesem Punkt an. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HVS Consulting für Buisness-Security, auf dem Kongress der Studenten und Jungingenieure beim Deutschen Ingenieurtag. Generell sei Industriespionage eine Wachstumsbranche.

Umsatzverlust von 50 Milliarden Euro durch Industriespionage bei deutschen Firmen

Das Bundesamt für Verfassungsschutz geht davon aus, dass deutsche Firmen allein 2010 einen Umsatzverlust von über 50 Mrd. € durch ungewollten Know-how-Abfluss erlitten haben. „Und das Ausspionieren von Unternehmen ist leichter als gemeinhin vermutet“, sagte Schnitzer.

Der Sicherheitsexperte aus München spricht dabei aus eigener Erfahrung. Als Social Engineer macht er Unternehmen auf Schwachstellen aufmerksam. Dabei greift Schnitzer tief in die Trickkiste und versucht unter Vorspiegelung falscher Tatsachen Zugriff auf relevante Informationen zu bekommen.

Spionage mit und ohne technische Hilfsmittel

Bei der Betriebsspionage unterscheidet man zwischen dem Human-Based und dem Tool-Based Social Engineering.

Beim Human-Based Social Engineering verwendet der Spion keinerlei technische Hilfsmittel. Hier versucht er die Mitarbeiter mithilfe von psychologischen Methoden, so zu manipulieren, dass sie ihm die gewünschten Informationen verraten. Der Spion setzt Lockmittel ein, strahlt Hilfsbedürftigkeit aus oder erzeugt Druck oder Schuldgefühle bei seinen ahnungslosen Opfern.

Beim Tool-Based Social Engineering setzt der Spion zusätzlich technische Hilfsmittel ein. So bringt er z. B., nachdem er sich durch seine psychologischen Tricks und sein schauspielerisches Talent Zugang zu Büroräumen verschafft hat, kleine Kameras und Mikrofone an oder installiert auf den Rechnern Spionagesoftware wie z. B. Trojaner und Keylogger.

Abwehr: Sichere IT als allein reicht nicht aus

Um der Betriebsspionage entgegenzuwirken wäre eine sichere IT Voraussetzung. Sie reiche aber bei Weitem nicht aus, so Schnitzer. „Verlassen sich die Mitarbeiter auf die Technik, hat es ein Spion, der Social-Engineering-Methoden einsetzt, meist noch leichter“, betont der Sicherheitsexperte weiter.

An erster Stelle stünde daher die Sensibilisierung der Mitarbeiter. Sie sollen durch gezielte Schulungen lernen zu erkennen, wann sie jemand versucht gezielt auszuhorchen oder ihre Freundlichkeit auszunutzen.

Dabei sei es nötig, die Mitarbeitersensibilisierung in eine Einführung unternehmensweiter Sicherheitsmaßnahmen einzubetten, betont Schnitzer. So sollten Unternehmen z. B. Sicherheitsrichtlinien einführen, sicherheitsrelevante Prozesse optimieren, diese dokumentieren und eine Regelung für den Katastrophenfall bestimmen.

Um die Effizienz der Maßnahmen zu steigern, könnten Unternehmen auch externe Dienstleister ins Boot holen. Diese verfügten oft über das größere Know-how und wirke einer möglichen Betriebsblindheit bei der Erstellung von Sicherheitsmaßnahmen entgegen. „Sicherheitsbewusste Unternehmen schaffen sich so einen deutlichen Wettbewerbsvorteil“, sagt Schnitzer. Der Dienstleister müsse aber, wie jeder andere externe auch, im Hinblick auf die Vertrauenswürdigkeit und Referenzen überprüft werden. 

Top Stellenangebote

ENERCON-Firmenlogo
ENERCON Versuchs- und Projekt-ingenieur (m/w) Generatorprüfung Aurich
Diehl Defence GmbH & Co. KG-Firmenlogo
Diehl Defence GmbH & Co. KG Entwicklungsingenieur (m/w) Röthenbach a. d. Pegnitz
Krankenhaus der Barmherzigen Brüder Trier-Firmenlogo
Krankenhaus der Barmherzigen Brüder Trier Bauingenieur/-in / Bautechniker/-in Trier
über JK Personal Consult GmbH-Firmenlogo
über JK Personal Consult GmbH Leiter Elektrokonstruktion (m/w) Dreieck Bielefeld-Dortmund- Paderborn
Berlin Metropolitan School-Firmenlogo
Berlin Metropolitan School Rewarding Career Bauleiter / Projektleiter (m/w) Berlin
über IRC - International Recruitment Company Germany GmbH-Firmenlogo
über IRC - International Recruitment Company Germany GmbH Eisenbahningenieur (m/w) München
Odenwald-Chemie GmbH-Firmenlogo
Odenwald-Chemie GmbH Projektleiter (w/m) Neckarsteinach
Andritz Separation GmbH-Firmenlogo
Andritz Separation GmbH Ingenieur (m/w) für Zentrifugen im Aftermarket Krefeld
BORSIG Membrane Technology GmbH-Firmenlogo
BORSIG Membrane Technology GmbH Projektingenieur/-in im verfahrenstechnischen Anlagenbau Rheinfelden
über KÖNIGSTEINER AGENTUR GmbH-Firmenlogo
über KÖNIGSTEINER AGENTUR GmbH Geschäftsführer (m/w) in der Kunststoffbranche neue Bundesländer