Deutschland ist eines der wichtigsten Ziele von ausländischen Wirtschaftsspionen. Das Bayerische Landesamt für Verfassungsschutz berät Unternehmen, wie man vorbeugen kann.
Der Kalte Krieg ist längst zu Ende, doch die Zeit der Spionage ist damit keineswegs vorbei. Im Gegenteil: Die Verfassungsschützer registrieren einen steten Anstieg der Versuche aus dem Ausland, an deutsches Know-how heranzukommen. Der internationale Wettbewerb und der globale Technologie-Wettlauf lassen die Hemmschwellen sinken, so die Beobachtung von Rudolf Proschko, Regierungsdirektor beim Bayerischen Landesamt für Verfassungsschutz (LfV).
Eine Vielzahl von Ländern ist beim Wissensklau aktiv, wobei die Verfassungsschützer China und Russland als die Länder mit den größten Aktivitäten ausgemacht haben. Aber nicht nur sie, sondern auch Angreifer aus befreundeten westlichen Staaten spionieren deutsche Unternehmen aus.
Interessant sind natürlich insbesondere technologische Informationen. Deutschland als hochindustrialisierter Wirtschaftsstandort ist deshalb ein begehrtes Ziel für Spionageangriffe. Im Visier stehen nicht nur große Unternehmen, sondern auch viele Mittelständler. Die Spione wissen sehr genau, dass viele kleine und mittlere Unternehmen über große Innovationskraft verfügen und häufig in ihren Bereichen zu den Marktführern gehören, unterstrich Proschko.
Was interessiert die Spione?
Über technologisches Wissen hinaus sind bei den Spionen auch andere Interna interessant, beispielsweise Personalien, Marketing-Konzepte, Unternehmensstrategie, Kundenbeziehungen und vieles mehr. Denn all dies erleichtert den Angreifern die Einschätzung darüber, wo man ansetzen kann, um der deutschen Konkurrenz im Wettbewerb das Wasser abzugraben.
Die Spione nutzen verschiedenste Einfallstore, um an Wissen heranzukommen. Am einfachsten ist die systematische Auswertung von Informationen, die leicht und mehr oder weniger öffentlich zugänglich sind und die dem Interessenten oft schon einen Überblick über das anvisierte Unternehmen geben. Solche Quellen sind u.a. Firmen-Homepages, Geschäftsberichte, Messeauftritte, Diskussionen über das Unternehmen in sozialen Netzwerken und vieles mehr.
Um wirklich in das Herz von Betrieben vorzudringen, ziehen die Spione aber auch andere Saiten auf, wobei sie häufig die Naivität und Unvorsichtigkeit ihrer Zielpersonen ausnutzen: Aus China kommen beispielsweise viele Attacken mit Trojanern, die auf die Computer der ausspionierten Personen geschleust werden und dort unbemerkt alle Aktivitäten scannen und Daten abgreifen. Befallen werden die PCs und Laptops beispielsweise über manipulierte E-Mails, verseuchte Internet-Seiten oder präparierte USB-Sticks, die als Gastgeschenk überreicht werden.
Manchmal haben die Spione allzu leichtes Spiel beim Datensammeln, weil Mitarbeiter Laptops mit wichtigen und unverschlüsselten Daten verlieren, weil PCs oder Datenträger in ungeschützten Containern entsorgt werden oder weil bei Reisen oder Konferenzen hochgefahrene Laptops für kurze Zeit aus den Augen gelassen werden. Manchmal gehen die Spione auch rabiater zur Sache: Sie dringen in die Hotelzimmer von Geschäftsreisenden ein oder öffnen Hotel-Safes, um an Computer heranzukommen.
Es geht aber auch über die menschliche Schiene: In interessanten Unternehmen oder Forschungseinrichtungen werden gezielt Mitarbeiter angeworben, die demotiviert sind, sich bei Beförderungen übergangen fühlen oder schlichtweg Geld brauchen. Dem Verfassungsschutz sind aber auch andere Arten von menschlichen Quellen untergekommen: Als Praktikanten eingeschleuste Datendiebe, Reinigungskräfte, die brisantes Material aus Papierkörben klauben, externes IT-Personal, das Daten kopiert, oder Delegationen, die Firmenbesuche zu unbemerkten Aufnahmen nutzen.
Die Spione sind keineswegs nur Angehörige fremder Geheimdienste, auch wenn einige Regierungen im Verdacht stehen, Wirtschaftsspionage zur Chefsache gemacht zu haben. Technisch stehen die Agenten, die von Unternehmen rekrutiert werden, ihren staatlich besoldeten „Kollegen“ kaum nach. Denn die nötigen Utensilien (z.B. Funktechnologie, Hardware oder winzige Kameras in Schlüsselanhängern, mit denen man beispielsweise Besprechungen aufzeichnen kann) werden in sogenannten „Spy Shops“ offen gehandelt. Das Tückische: Die moderne Informationstechnologie lässt Attacken zu, von denen die Angegriffenen überhaupt nichts mitbekommen.
Wie kann man sich schützen?
Das Bayerische Landesamt für Verfassungsschutz informiert umfassend – auch direkt in den Unternehmen – wie man Wirtschaftsspione fernhalten kann. „Schon mit wenig Aufwand kann ein hohes Maß an Sicherheit erreicht werden“, erklärte Proschko. Am Anfang sollte eine Risikoanalyse stehen: Wie forschungsintensiv ist mein Unternehmen? Bietet ein Auslandsengagement zusätzliche Einfallstore für Spione? Und vor allem: Wie sieht die Datenstruktur im Unternehmen aus? In der Regel seien 80 Prozent der Daten nicht existenziell für das Unternehmen, sodass der übliche Datengrundschutz ausreicht (z.B. Zutrittskontrolle auf dem Firmengelände, Schließsystem für die Räumlichkeiten, Festlegung von Zugriffsrechten, Virenscanner, Firewall). 15 Prozent der betrieblichen Daten verdienen meist einen höheren Schutz und fünf Prozent der Daten sind als „Kerninformationen“ von existenzieller Bedeutung anzusehen, deren Schutz höchste Aufmerksamkeit gewidmet werden muss. Für diesen Kernbereich sind u.a. folgende Reglementierungen denkbar: Nur Laptops mit gesperrten USB-Eingängen und nur Handys mit Minimalfunktionen erlaubt, Verbot privater Internet- und Mail-Nutzung sowie von Blackberrys, physikalische Trennung von Firmennetz und Internet.
Unternehmen mit dezentraler Organisation, mit Außendienst und mit Aktivitäten im Außenhandel müssen sich ebenfalls klare Regeln für den Umgang mit Endgeräten und Daten verordnen. Einige leicht umsetzbare Anregungen:
- Immer mit „leichtem“ IT-Gepäck reisen, d.h. Laptop ohne sensible Firmendaten. Alle wichtigen Daten stattdessen auf verschlüsseltem Datenträger speichern und separat mitführen.
- Möglichst auf WLAN-Nutzung verzichten.
- Nur eigene Kommunikationsmittel und Datenträger nutzen und diese niemals anderen Personen aushändigen.
- „Verlust-Management“ im Unternehmen einführen (Was ist beim Verlust von Handy oder Laptop genau zu tun?).
- Darauf achten, dass niemand bei firmenbezogenen Gesprächen in Flughäfen, Zügen, Restaurants, Hotelbars usw. mithört.
- Vorsicht bei der Annahme von Geschenken und auffälligen Kontaktversuchen.
Der Verfassungsschutz empfiehlt den Unternehmen, auf der Basis einer Risikoanalyse ein umfassendes Compliance-Management einzuführen und dort alle Regelungen festzuhalten, die der Abwehr von Spionageangriffen dienen. Dafür sowie für die IT-Sicherheit sollte ein Verantwortlicher im Betrieb benannt werden, der für die Koordinierung der Maßnahmen zuständig ist. Das Bayerische Landesamt für Verfassungsschutz unterstützt die Unternehmen intensiv dabei, die Sicherheitsstandards zu erhöhen (siehe unten). bec.
Services des Verfassungsschutzes
Das Bayerische Landesamt für Verfassungsschutz (LfV) hat den gesetzlichen Auftrag, die Wirtschaft bei der Spionageabwehr zu unterstützen. Deshalb bietet die Behörde eine ganz Reihe kostenloser Dienstleistungen für die Unternehmen an. Einige Beispiele:
- Publikationen
- Mitarbeiterschulungen
- Vorträge und Präsentationen
- individuelle Gefährdungs- und Schwachstellenanalyse
- Unterstützung bei der sicheren Gestaltung der IT-Infrastruktur
- Aufklärung über Schutzmaßnahmen bei Auslandsreisen
Seit Mitte 2010 informiert das LfV mit einer virtuellen Firma im Internet über Einfallstore für Wirtschaftsspione sowie über geeignete Gegenmaßnahmen. Unter www.wirtschaftsschutz.bayern.de kann man einen Rundgang durch ein „Unternehmen“ machen und praxisnah erfahren, welches die häufigsten Schwachstellen im Betrieb sind.
