Sicherheitsfachberater; Bundeswehr von 1964 bis 1998, Fernmeldeelektronische Aufklärung Sicherheits- und Nachrichtenwesen in nationalen Kommandobehörden und beim obersten alliierten Hauptquartier SHAPE, Mons/Belgien; Mitglied Arbeitskreis der Geschichte der Nachrichtendienste e.V. (International Intelligence History Association – IIHA), Fernmeldering e.V., Verband der Reservisten e.V.; Autor Geheime Funkaufklärung in Deutschland, 2005, Informationskrieg + Cyberwar, 2007, Geheime Nachrichtendienste und Funkaufklärung im Zweiten Weltkrieg, 2009, Totale Überwachung, 2010.
Definition von Geschäftsgeheimnissen aus US-amerikanischer Sicht
Nach dem US-Economic Espionage Act (EEA) ist jegliche Information, die der Besitzer für schützenswert hält und die einen unabhängigen wirtschaftlichen Wert besitzt ein Geschäftsgeheimnis (Trade Secret). Der Besitzer eines derartigen Geschäftsgeheimnisses hat alle erforderlichen Vorkehrungen zu dessen Schutz zu treffen, z.B. Zugangsbeschränkungen, entsprechende Klassifizierung und Aufbewahrung.
Geschäftsgeheimnisse müssen einen kommerziellen Wert besitzen. Außerdem ist es erforderlich, dass alle Personen die Zugang zu Geschäftsgeheimnissen erhalten, eine schriftliche Geheimhaltungserklärung abgeben, deren Bruch strafrechtlich verfolgt werden kann. Strafbewehrt ist auch die Anfertigung von Kopien, jegliche Veränderung, Diebstahl oder unberechtigte Entgegennahme eines derartigen Geschäftsgeheimnisses. Strafbewehrt ist ebenfalls die Verwehrung des Zuganges oder Zugriffs zu einem Geschäftsgeheimnis, wenn dieses in Datenverarbeitungsanlagen aller Art verfügbar gehalten wird. Auf Staatsgeheimnisse und deren Schutz wird hier nicht weiter eingegangen.
ARMED FORCES COMMUNICATION AND ELECTRONICS ASSOCIATION CYBER COMMITTEE
Die Untersuchungen des AFCEA Cyber-Committee erbrachten folgende Ergebnisse: Die durch die Executive Order 13587 geforderten Insider-Threat – Programme werden von vielen Unternehmen unterschiedlich behandelt. Zum Teil werden diese Maßnahmen durch die betrieblichen Sicherheitsorganisationen, den Abteilungen für Datenverarbeitung oder aber den Rechtsabteilungen der betroffenen Unternehmen unterschiedlich umgesetzt. Vielfach wird die Bedrohung durch Innentäter ausschließlich als Problem der Informationstechnologie betrachtet.
Das Problembewusstsein auf den höheren Führungsebenen in den Unternehmen selbst fehlt oft. Meist werden Bedrohungsanalysen durch die Unternehmen nicht erstellt. Klare Regelungen für die einheitliche Klassifizierung und Kennzeichnung von Geschäftsgeheimnissen gibt es nicht. Dies gilt auch für den Austausch von Geschäftsgeheimnissen mit Partnern im In- und Ausland. Auch werden die Programme zur Kontrolle und Überwachung des Zugangs zu betrieblich sensitiven Informationen, insbesondere im Bereich der IT-Systeme nach sehr unterschiedlichen Standards betrieben.
Vorschläge des AFCEA Cyber-Committees
Zur Vereinheitlichung der Maßnahmen zur Abwehr von Innentätern schlägt das Komitee u.a. folgende Maßnahmen vor:
- Abschottung der Bereiche Forschung und Entwicklung,
- Implementierung einheitlicher Standards für die Informations-Sicherheit,
- einheitliche Standards für die materielle Absicherung,
- Aus- und Weiterbildung des IT- und Sicherheitspersonals,
- Entwicklung entsprechender IT-gestützter Detektionsprogramme um den Abfluss sensitiver betrieblicher Informationen zu entdecken,
- Verstärkung der Abschirmung gegen Insider-Angriffe (Counter-Intelligence) sowie
- eine Reihe weiterer innerbetrieblicher Maßnahmen zur Erhöhung des Problembewusstseins auf allen betrieblichen Ebenen.
Besonderer Wert wird auch auf die vorbeugende Beschränkung der Zugangsmöglichkeiten zu Geschäftsgeheimnissen gelegt, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet. Als besonders wirkungsvoll hat sich hierbei die Überwachung der IT-Aktivitäten des Betroffenen in einem Zeitraum bis zu 60 Tagen vor dem Ausscheiden aus dem Unternehmen erwiesen. Die Kryptierung sensitiver betrieblicher Daten scheint aus Sicht des Komitees weniger erfolgversprechend, da sich diese im System nur mit großem Aufwand verfolgen lassen. Zu den Empfehlungen des Komitees gehört auch die Anwendung von Prinzipien der „Gegenspionage – Counterintelligence“ wie diese bereits im staatlichen Bereich zum Schutze sensitiver Informationen angewendet werden.
Ausblick
- Als Folge der Enthüllungen um das System „PRISM“ der NSA kann erwartet werden, dass die seit 2009 anstehende Reform der Klassifizierungsgrundsätze für sensitive Informationen aller Art nun vorangetrieben wird.
- Die USA verfügen derzeit über ein nicht ausgewogenes und vielfach nicht mehr überschaubares System der Klassifizierung sowohl im staatlichen Bereich und in der Industrie und Wirtschaft bei staatlichen Aufträgen als auch in der Privatwirtschaft.
- Vielfach ist nicht ersichtlich was sich hinter Bezeichnungen wie: Controlled Unclassified Information – CUI, Sensitive But Unclassified Information – SBU, For Official Use Only – FOUO, Security Sensitive Information-SSI, Law Enforcement Sensitive – LES und ähnlichen Klassifizierungen verbirgt.
- Die Eingriffs- und Zugriffsmöglichkeiten auf IT- und Kommunikationssysteme in denen sensitive Informationen verarbeitet werden, kann künftig rigiden Kontrollen unterworfen werden, um den unerwünschten Abfluss sensitiver Informationen zu minimieren.
- Die Verschärfung der Klassifizierungs- und Zugangspolitik kann auch Einfluss auf die Zusammenarbeit europäischer Unternehmen mit Partnern in den USA haben.
Quellen
ARMED FORCES COMMUNICATION AND ELECTRONICS ASSOCIATION CYBER COMMITTEE: Insider Threat Protecting U.S. Business Secrets and Sensitive Information Jarrellann Filsinger, National Archives and Records Administration, Barbara Fast, CGI Federal Daniel G. Wolf, Cyber Pack Ventures, Inc., Charles H. Brown, C H Brown Consulting, LLC, June 2013.
