Sicherheit

Manipuliert und ausspioniert: „Vorsicht! Feind hört mit“

© David Stuart - Fotolia.com

Die Zahlen sind alarmierend: Rund jedes fünfte Unternehmen wird laut manager-magazin.de ein- oder mehrmals pro Jahr Opfer eines Spionage-Angriffs. Dabei hat die größte Schwachstelle im Sicherheitssystem einen Namen: Der eigene Mitarbeiter. Denn menschliches Verhalten ist manipulierbar – kein Wunder also, dass sogenanntes Social Engineering als gefährlichste Methode des Informations-Diebstahls gilt, so auch Dr. Andrea Berner in W&S 7-8/2008. Durch das gezielte Ausnutzen menschlicher Stärken und Schwächen beeinflusst der Angreifer das Opfer hierbei so lange, bis es schließlich die benötigten Informationen preisgibt. Human Based Social Engineering, eine spezielle Form der sozialen Manipulation, kommt dabei ohne den Einsatz technischer Hilfsmittel aus – das Human Hacking findet hier im direkten Kontakt zwischen Täter und Opfer statt.

Geschäftsreisende im Visier

Der sympathische Sitznachbar, der Sie während der Zugfahrt immer wieder in ein Gespräch verwickelt, um die lange Reisezeit zu überbrücken, oder die nette Dame, die sich bei einem abendlichen Umtrunk an der Hotelbar so interessiert für das eigene Berufsfeld zeigt – Gelegenheiten für einen Social-Engineering-Angriff ergeben sich auf Reisen zur Genüge. Nicht ohne Grund stellen Geschäftsreisende daher für Spione bevorzugte Ziele dar. Denn außerhalb ihres gewohnten Umfelds, jenseits des Schutzmantels des eigenen Unternehmens, werden diese zunehmend angreifbar. Und nicht nur das: Wer geschäftlich im Ausland unterwegs ist, führt in vielen Fällen hoch brisante Informationen bei sich – ganz gleich ob in der Aktentasche oder im eigenen Kopf.

Das Risiko kommt nicht von ungefähr: Viele deutsche Unternehmen sind auf dem Weltmarkt sehr erfolgreich – nicht zuletzt aufgrund ihres Wissens- und Technologievorsprungs. Neben Schweden, Dänemark und Finnland zählt Deutschland zu den innovationsstärksten Mitgliedsstaaten der Europäischen Union. Die meisten Neupatentierungen verzeichnet das Deutsche Patent- und Markenamt (DPMA) dabei im Bereich der Medizintechnik, aber auch der Elektro- und Maschinenindustrie sowie der digitalen Kommunikation. Längst hat sich Know-how zum wirtschaftlichen Erfolgskriterium entwickelt. Die Aussicht auf gewinnbringende Informationen weckt dabei nicht nur das Interesse der Konkurrenz: Auch Geheimdienste großer Wirtschaftsnationen ruft das auf den Plan. Seit Jahren gilt es in Fachkreisen als ein offenes Geheimnis, dass Länder wie die USA, China oder Russland der eigenen Wirtschaft bei der Informationsbeschaffung helfend unter die Arme greifen. Dabei ist man sich der Gefahr durchaus bewusst: Über 95 Prozent aller Sicherheitsverantwortlichen geben an, die Bedrohung, welche von Social Engineering ausgeht, ernst zu nehmen. Trotz alledem lohnen sich die Mühen der Spione, denn zirka 10 Prozent aller Angriffe verlaufen erfolgreich – über 95 Prozent der Angreifer bleiben dabei unerkannt.

Der innovative Mittelstand ist besonders bedroht

Die Bedrohung, der sich Unternehmen ausgesetzt sehen, beschwört einen ungleichen Kampf herauf: So unterhält allein das Ministerium für Staatssicherheit der Volksrepublik China nach Schätzungen von Experten bis zu einer Million Mitarbeiter – damit zählt es als eines der personalstärksten Geheimdienste der Welt. Seit Jahren warnt der Verfassungsschutz vor Spionageangriffen von chinesischer Seite – insbesondere gegen deutsche Mittelständler. Denn während Großkonzerne längst wirkungsvolle Schutzmaßnahmen ergriffen haben, um einen möglichen Know-how-Abfluss zu verhindern, sieht das im Klein- und Mittelstand häufig anders aus. Dabei gilt das Innovationsverhalten kleinerer Betriebe als äußerst vorbildlich: Rund 20 Prozent der jährlichen Patentanmeldungen in Deutschland entfallen auf Klein- und Mittelständische Unternehmen – für Spione ein lohnendes Ziel. Da kleinere Firmen jedoch meist nur wenige Entwicklungsprojekte gleichzeitig durchführen, hängt die unternehmerische Zukunft in vielen Fällen vom Erfolg dieser Innovationen ab. Ein Know-how-Verlust hat damit schnell existenzbedrohende Folgen. Doch wie lassen sich reisende Mitarbeiter, insbesondere in Risikoländern, vor Spionage schützen?

Abwehrstrategie

Die explizite Definition spezifischer Vertraulichkeitsstufen sowie die Festlegung von Verantwortlichkeiten und Meldewegen im Bedarfsfall sollten Bestandteil eines jeden nachhaltigen Informationsschutzkonzeptes sein. Doch nur, wenn ein potenzieller Angriff erkannt wird, können Abwehrmechanismen wirksam werden. Darum muss der Geschäftsreisende selbst im Mittelpunkt der Maßnahmen stehen. Ein fundiertes Awareness-Training, in welchem über die Gefahr und Funktionsweise von Social Engineering aufgeklärt und mögliche Abwehrstrategien vermittelt werden, ist von zentraler Bedeutung. Geeignete Gesprächstechniken zum Abbau einer erzeugten Zwangssituation gehören hierbei ebenso zum Trainingsinhalt wie mögliche Ausweichtaktiken. Eine personenbezogene Gefährdungsanalyse über eigene Stärken und Schwächen, die einem Social Engineer Angriffsfläche bieten, kann ebenfalls dazu beitragen, einen Informationsverlust zu verhindern. Nur wer es schafft, seinen Mitarbeitern das eigene Gefährdungspotential ins Bewusstsein zu rufen, kann das bestehende Risiko von Geschäftsreisen reduzieren. Denn beruflicher Smalltalk ist sowohl im Zug als auch an der Hotelbar fehl am Platze – die Auswahl an neutralen Themen ist schließlich groß genug.

Quellen

http://www.manager-magazin.de/unternehmen/artikel/a-518869.html

http://www.pwc.de/de/risk/die-groesste-schwachstelle-ist-der-mensch-und-sein-umgang-mit-der-technologie.jhtml

http://www.tuev-sued.de/uploads/images/1337081730757467822177/120423-studie-industriespionage-2012.pdf

https://www.muenchen.ihk.de/de/WirUeberUns/Publikationen/Magazin-wirtschaft-/Aktuelle-Ausgabe-und-Archiv2/magazin-02-2013/Titelthema/industriespionage-spionageopfer-mittelstand

Dr. Andrea Berner: „Soziale Manipulatoren“ in W&S 6-7/2008