Spione statt Piraten

Ideenklau – Die Zeiten des schnöden Nachbaus sind vorbei: Spione versuchen, direkt an originäre Daten zu gelangen.

18. Dezember 2008

Deutsche Produkte sind weltweit begehrt, entsprechend belegte Deutschland im vergangenen Jahr abermals den Rang als führende Exportnation, und dies wird nach Angaben der Bundesagentur für Außenwirtschaft auch in diesem Jahr so bleiben. Maßgeblich an diesem Erfolg beteiligt ist der Mittelstand – hier gibt es viele Unternehmen, die Weltmarktführer sind. Zurückzuführen ist dies in erster Linie auf hohe Qualität und Innovationsfähigkeit quer durch die verschiedenen Branchen.

Doch genau hier liegt die Krux. Das hervorragende Image macht deutsche Produkte interessant für Nachahmer. So wurde bereits in 2004 im Rahmen einer vom Sicherheitsforum Baden-Württemberg beauftragten Studie der Universität Lüneburg ermittelt, dass das Gefährdungspotenzial immens ist: Zwei Drittel aller befragten Unternehmen gaben an, schon einmal Opfer von »unfreundlichem Informationsabfluss« gewesen zu sein.

Angaben zu den tatsächlich verursachten Schäden gibt es nicht, aber Experten wie Dr. Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW), gehen von 20 Milliarden Euro aus. Branchenspezifische Ergebnisse hat der Verband Deutscher Maschinen- und Anlagenbau (VDMA) vorliegen: Eine aktuelle Mitgliederbefragung ergab, dass zwei Drittel seiner Unternehmen von unzulässigen Nachbauten betroffen sind. In Zahlen ausgedrückt bedeutet dies für die Branche der Maschinen- und Anlagenbauer einen wirtschaftlichen Schaden von rund sieben Milliarden Euro.

Niemand ist sicher

Gegen das Abgreifen geheimen Wissens ist kaum eine Branche gefeit. Dies bestätigt auch Dr. Marcus Schreibauer, Partner bei der internationalen Wirtschaftssozietät Lovells: »Meines Erachtens gehört die Ausspähung der Konkurrenz bei einigen Unternehmen schon fast zum Geschäftsmodell. Kriminelle nutzen aus, dass ein Großteil der Kommunikation über elektronische Medien ausgetauscht wird.« Dies lässt sich oft nicht vermeiden, denn die Fertigung von Produkten findet vermehrt an regional oder sogar international verteilten Standorten statt, sensible Daten wie etwa Konstruktionspläne wandern ständig hin und her. »Bei großen Distanzen zwischen einzelnen Produktionsstätten«, so Schreibauer weiter, »ist E-Mail dann ohne Zweifel die erste Wahl. Jedoch können Industriespione Daten beim Austausch über das Internet unbefugt und mit krimineller Absicht mitlesen.«

Allerdings stehen nicht nur die auf diesem Wege ausgetauschten, sondern auch die im Unternehmen abgespeicherten Informationen im Visier von Wirtschaftsspionen. Auch laut VDMA basiert Produktpiraterie zunehmend nicht mehr auf dem Prinzip von Reverse-Engineering, also dem physischen Kopieren von Produkten. »Im Gegenteil, immer häufiger versuchen die Täter«, sagt Rainer Glatz, Geschäftsführer im VDMA, »direkt auf die originären Entwicklungs- und Forschungsdaten zuzugreifen. « Dies ist – neben der Tatsache, dass sich die Produktpiraterie tendenziell zunehmend von der Konsumgüter- auf die Investitionsgüterindustrie verlagert – laut Glatz der zweite äußerst kritische Trend im Kontext von Produktpiraterie und Wirtschaftsspionage.

Die modernen Informationstechnologien allgemein und das Internet im Speziellen nehmen eine wichtige Funktion im Rahmen der kriminellen Aktivitäten ein. So wird nach Aussagen des Bundesverbands Informationswirtschaft, Telekommunikation und Neue Medien (Bitkom) in den letzten Jahren vermehrt das World Wide Web für die Verbreitung gefälschter Ware genutzt. Aber auch die Methoden, um an wertvolle Unternehmensinformationen zu gelangen, zielen in erster Linie auf die Informationstechnologie ab. Hierbei handelt es sich zunehmend um systematische Angriffe mit hohem technischen Know-how.

So versuchen die illegalen Eindringlinge mit sehr gezielten E-Mails und individualisierten Trojanern einen bestimmten Rechner zu infizieren, um darüber den Zugriff auf die gewünschten Daten zu erhalten. Auch durch Lauschangriffe auf die Kommunikationswege über VoIP oder Mobiltelefon gelangt unternehmensinternes Wissen in falsche Hände. Über diese Verbindungen tauschen die Unternehmen oftmals brisante Informationen zu Projekten aus und berücksichtigen nicht, wie ungesichert diese sind – was ein Abhören leicht ermöglicht.

Ebenso bietet die Bluetooth- Funktionalität immer noch ein großes Einfallstor, da hier eine Manipulation schnell und mit einfachen Mittel durchgeführt werden kann und so zum Beispiel ein Zugriff auf die im Mobiltelefon abgespeicherten Daten nicht allzu schwierig ist.

In den Besitz von unternehmenskritischen Informationen, also essenziellen Betriebsgeheimnissen wie Rezepturen, Kundendaten, Marketingplänen oder auch Bezugsquellen zu gelangen ist das erklärte Ziel von Wirtschaftsspionen. Darum wird Know-how-Schutz – der Fachterminus steht zumeist allumfassend für den Schutz von geheimen Daten – zum Gebot der Stunde. Dies birgt eine hohe Brisanz für Unternehmen, stellt aber gleichzeitig eine enorme Herausforderung auf den verschiedenen Prozessebenen dar. So weiten sich beispielsweise Unternehmensnetzwerke zunehmend aus, entsprechend steigt auch deren Komplexität, was letztendlich sowohl das Management als auch den Schutz der Daten schwieriger gestaltet. Daneben ermöglichen technische Voraussetzungen wie Web 2.0 eine neue Art der Kooperation, zunehmend arbeiten mehrere Unternehmen bei der Entwicklung von Produkten oder Maschinen zusammen. Dies bedingt unter anderem, eine große Anzahl von unterschiedlichen Mitarbeitern in sensible Projekte zu involvieren. Es wirkt sich negativ aus, wenn dabei keine Vorgaben dahingehend existieren, welche Informationen grundsätzlich schützenswert sind.

Gravierend

Ähnliches beobachtet auch Marcus Schreibauer: »Im Geschäftsalltag findet in vielen Unternehmen keine systematische Erfassung des Know-hows statt und dies hat gravierende Auswirkungen auf den Umgang mit unternehmenskritischen Daten«.

Diese exemplarisch ausgewählten Beispiele verdeutlichen, wie dringend Unternehmen ein intelligentes Schutzkonzept erstellen müssen, um den Abfluss von Know-how wirksam zu verhindern. Damit ein adäquates Schutzniveau entsteht, ist es unumgänglich, die gesamten technischen, organisatorischen und rechtlichen Maßnahmen im Rahmen eines ganzheitlichen IT-Sicherheitskonzeptes zusammenzufassen.

Wichtige Daten

Für die Strategieentwicklung gilt es, auch unter dem Aspekt von Kosten und Nutzen, in erster Linie die schützenswerten Daten zu ermitteln sowie darauf aufbauend die entsprechenden Prozesse zu definieren. In einem nächsten Schritt erfolgt unter Berücksichtigung der gesammelten Kenntnisse die Planung und Umsetzung der konkreten Schutzmaßnahmen. Das Ziel dabei ist, die kritischen Sicherheitslücken zu beseitigen.

Dies kann beispielsweise der Einsatz technischer Mittel sein, die für den einzelnen Nutzer nur begrenzte Zugriffsrechte auf bestimmte Daten vergeben. Einen Schutz vor dem Mitlesen von unternehmenskritischen Informationen in der elektronischen Kommunikation bietet der Einsatz von automatisierten Verschlüsselungsmechanismen; so lassen sich keine E-Mails im Klartext versenden. Im Kontext der organisatorischen Strategie ist es – beispielsweise bei der Zusammenarbeit mit Kooperationspartnern – empfehlenswert, den Schutz von unternehmensinternem Know-how vertraglich zu gewährleisten.

Dies ist möglich durch Wettbewerbsverbote oder allgemeine Geheimhaltungspflichten vor und nach der Vertragsdauer. Vertraulichkeitsvereinbarungen mit Externen können zum Beispiel in einem NDA oder mittels Geheimhaltungsklauseln fixiert werden. »Einige Unternehmen erstellen umfassende Security Policies«, erklärt Dr. Schreibauer, Lovells, »in diesen ist teilweise sogar die Art des Schredders zur Vernichtung der vertraulichen Unterlagen vorgeschrieben.«

Im Alltag

Wichtig ist jedoch auch, dem Informationsschutz bei der täglichen Arbeit genügend Aufmerksamkeit zu schenken. Berthold Stoppelkamp rät daher, nicht nur in die Technik und Optimierung der Organisationsabläufe, sondern auch in die Schulung der Mitarbeiter zu investieren, um das Unternehmen optimal zu schützen: »Diese Schulung sollte sowohl weiche Faktoren, wie etwa den adäquaten Umgang mit Web 2.0, berücksichtigen als auch eine gezielte Aufklärung im Hinblick auf akute Bedrohungspotenziale wie etwa Zerodays-Exploits bieten«.

Seine Empfehlung lautet zudem, die Mitarbeiter stärker in die Sicherheitsstrategie einzubinden. Dazu zählt auch, eine Ethik für den richtigen Umgang mit Daten auszubilden. Denn nur wenn Mitarbeiter den Sinn von Sicherheitsmaßnahmen akzeptieren, werden sie mehr Vorsicht beim Umgang mit dem Internet walten lassen.

Sicherheitslücken im Unternehmen zu schließen, erfordert eine ganzheitliche Strategie, die insbesondere auch alle organisatorischen Notwendigkeiten reflektiert. Diese Verantwortung liegt auf Seiten der Geschäftsleitung, daher lautet die Empfehlung, die auch seitens des VDMA ausgesprochen wird: Innovationsschutz muss von den Vorgesetzten vorgelebt und mitgetragen werden.

Wolfgang Straßer, @-yet/mk

Erschienen in Ausgabe: Wer macht was?/2009