Gefahrenabwehr

Wirtschaftsspionage

9. Februar 2012
von Dr. Richard Werner

Wirtschaftsspionage und die Maßnahmen der Unternehmen

Wirtschaftsspionage ist die staatlich gelenkte oder gestützte, von fremden Nachrichtendiensten ausgehende Ausforschung im Zielbereich Wirtschaft. In der öffentlichen Diskussion und Medienberichterstattung werden die Begriffe Wirtschaftsspionage und Konkurrenzspionage bzw. Industriespionage häufig nicht richtig voneinander abgegrenzt.

Industrie- und Konkurrenzspionage

Industrie- und Konkurrenzspionage ist die illegale Beschaffung von Know-how und Waren durch konkurrierende Unternehmen. Ziel ist es, entweder durch früheren Erhalt der Informationen sich selbst einen Vorteil zu verschaffen oder früh genug Gegenmaßnahmen einleiten zu können. Dabei werden sowohl befreundete als auch oppositionelle Parteien in den Prozess einbezogen.

Für viele Unternehmen fällt der Schutz gegen Wirtschafts- und Industriespionage unter Informationssicherheit und ist heute ein wichtiger Bestandteil von Anwenderschulungen. Viele Anwender kennen weder die Gefahren noch die Konsequenzen entsprechender Attacken.

Techniken der Wirtschaftsspionage

Häufige Wirtschaftsspionagetechniken sind das unerlaubte Kopieren von Daten über offene und ungeschützte USB-Ports auf Wechselspeichermedien, wie z. B. dem USB-Memory-Stick, das Fotografieren von Schriftstücken, Fertigungsanlagen, Fertigungstechniken oder Prototypen mittels der heute schon sehr hochauflösenden Fotohandys, das Abfangen von Briefen und E-Mails, das Abhören von Telefonen und Internetverbindungen sowie das Einbringen von Informanten oder Aufkaufen anderer Informanten der Gegenpartei.

Social-Engineering

Technische Schutzmaßnahmen, wie die Verschlüsselung, sind heute sehr ausgereift, daher wird die Manipulation von Menschen mit den Mitteln des Social Engineerings zu einer immer wichtigeren Angriffsmethode der Spione. Schulungen, die Mitarbeiter von Organisationen tatsächlich gegen derartige Spionageattacken wappnen, müssen insbesondere auf den Druck und die Unsicherheit Rücksicht nehmen, mit denen Zielpersonen während einer Social-Engineering-Attacke zu kämpfen haben. Ziel ist es, den Opfern aus ihrer unangenehmen Situation einfache Auswege zu bieten, damit sie nicht zu Kurzschlussreaktionen neigen und entsprechende Vorfälle verschweigen.

Zuständigkeiten der Behörden

In Deutschland wird Wirtschaftsspionage auf Bundesebene vom Bundesamt für Verfassungsschutz verfolgt. Auf Landesebene fällt die Verantwortung in den Bereich des jeweils zuständigen Landesamt für Verfassungsschutz, sofern es eine Abteilung Spionageabwehr betreibt. Allerdings gibt es auf der Behördenebene keine wirkliche flächendeckende Abwehr, so dass ausländische Konzerne mit Hilfe ihrer Geheimdienste Firmen ausspionieren können. Lediglich das Bundesamt für Sicherheit in der Informationstechnik betreut mit der Abteilung 2 – Kryptologie und Abhörsicherheit, eine Spionageabwehrteam, welches diese Leistung Bundes- und Landesbehörden, sowie Unternehmen die durch das Bundesministerium für Wirtschaft und Technologie (BMWi) der Geheimschutzbetreuung unterliegen, anbietet. Deutschland betreibt selbst offiziell keinen Geheimdienst, der für die deutsche Wirtschaft im Ausland spioniert.
















Checkliste

Personelle Maßnahmen

  • Informationsbeschaffung zur Überprüfung/Bewertung potenzieller Kunden, Lieferanten und/oder Partner – Ermittlung und Analyse von Belegen für die wirtschaftliche Leistung, von Reputation, Bonität und Geschäftsinteressen sowie Identifikation der Motivationslage und Sondierung verdeckter Ziele;

  • Überprüfung der Integrität von Bewerbern, Ermittlung möglicher Falschaussagen in der Bewerbung sowie möglicher „dunkler Punkte“, unlauteren oder korrupten Verhaltens in der Vorgeschichte von Bewerbern (Employee Risk Analysis);

  • Durchführung von Hintergrundüberprüfungen (Sicherheitscheck) von Mitarbeitern als Standardmaßnahme während des Anstellungsverhältnisses und/oder Durchführung von spezifischen Maßnahmen bei besonderen Anlässen (Vorkommnisse, Verdachtsmomente, Übernahme neuer, eventuell sogar sicherheitsrelevanter Funktionen, und Ähnliches).

Technische Maßnahmen

  • Gewährleistung der Sicherheit der IT-Infrastruktur eines Unternehmens und des Schutzes elektronisch gespeicherter Informationen durch (laufendes) unabhängiges Screening der Qualität und Wirksamkeit von IT-Security-Maßnahmen;

  • Durchführung spezifischer technischer Maßnahmen zur Erkennung und Abwehr von Lausch- und anderen elektronisch technischen Spionageangriffen gegen Unternehmen.

Organisatorische Maßnahmen

  • Integrierte Maßnahmenplanung inklusive abgestimmter Schulungskonzepte,

  • Einbindung in das bestehende Krisenmanagement,

  • Kommunikations- und Medienmanagementkonzept.





Praxishinweise


  • Aktuelle Risiken aus dem Internet sind nicht nur Hacker-Kampagnen, Spy- und Malware-Programme sowie Virenangriffe, sondern auch professionelle Wirtschaftspionage.

  • Unternehmen unterschätzen immer noch die Gefahr aus dem Web, obwohl es nie einfacher war, an vertrauliche Informationen zu kommen und Know-how auszuspionieren.

  • Geradezu fahrlässig ist die Tatsache, dass besonders Unternehmen aus Schlüsselindustrien, besonders der Finanzindustrie, wenig Bewusstsein für diese Art der Bedrohungen entwickeln.

  • Eingeplante IT-Budgets der Unternehmen reichen für ein leistungsfähiges Sicherheitskonzept gegen Wirtschaftsspionage oft nicht aus.

  • Alle sensiblen Bereiche des Unternehmens sind zu identifizieren und durch adäquate Schutzmaßnahmen, insbesondere Verschlüsselung, abzusichern. Zum Sicherheitsstandard gehören abhörsichere Telefonleitungen, die ausgereift und nicht mehr teuer sind. So kann z.B. mit entsprechenden Apps für das iPhone sicher telefoniert werden.

  • Ergänzend zum Einsatz modernster IT-Sicherheitslösungen werden weiterführende Maßnahmen der integralen Sicherheit empfohlen, u.a. die Schulung von Geheimnisträgern.



Quelle: SicherheitsForum 4/11

Das könnte Sie auch interessieren