“Deutsche Firmen brauchen neue Sicherheitsfunktionen”
In China ist staatliche Wirtschaftsspionage gewissermaßen systemimmanent, sagt das Bundesamt für Verfassungsschutz in seinem jüngsten Bericht. silicon.de hat mit Burton-Analyst Randall Gamby gesprochen, wie sich deutsche Unternehmen schützen können.
“60 Prozent unserer Verdachtsfälle haben inzwischen mit China zu tun”, sagt Johannes Schmalzl, Verfassungsschutzpräsident in Baden-Württemberg. Der Düsseldorfer Innenminister Ingo Wolf (FDP) wies vor einigen Monaten darauf hin, dass chinesische Produktpiraten “selbst die Idee eines deutschen Bäckers, die Körner im Brot auf eine bestimmte Weise zu verbacken” gestohlen hätten.
Besonders hoch aber ist die Gefahr natürlich für Hightech-Unternehmen. Randall Gamby, Analyst bei der Burton Group und spezialisiert auf den Bereich Security und Risk Management Strategies, empfiehlt, ein großes Paket mit Vorsichtsmaßnahmen zu schnüren.
silicon.de: Immer mehr deutsche Unternehmen kooperieren mit chinesischen Firmen. Wie groß ist nach Ihrer Einschätzung die Gefahr, Opfer von Industriespionage zu werden?
Gamby: Es hat Zwischenfälle in China gegeben, bei denen ausländische Original-Software oder -Produktinformationen kopiert, veröffentlicht oder modifiziert wurden. Die Gefahr ist real, aber nicht sehr hoch. Die wahre Bedrohung ist die Annahme, dass Chinas Gesetze die vertraulichen Informationen eines deutschen Unternehmens genauso schützen, wie dies das deutsche Gesetz tut. Wenn chinesische Unternehmen mit im Spiel sind, muss man die Gesetze in China zum Schutz ausländischer Patente ganz genau verstehen – oder umgekehrt, welche technischen Methoden und welcher Schutz für die vertraulichen Daten eines Unternehmens nötig sind.
silicon.de: In welchen Bereichen der Zusammenarbeit müssen Unternehmen besonders vorsichtig sein?
Gamby: Entscheidend ist, wie bei jeder Kooperationsvereinbarung, durchsetzbare Kontroll- und Monitoring-Mechanismen zu entwickeln. Das sind die wichtigen Elemente bei der Zusammenarbeit mit jedem Unternehmen, unabhängig vom geographischen Standort.
Zudem ist es sehr wichtig, den Aufbau der Informationsinfrastruktur des Partners zu verstehen. Nötig ist im Detail:
- Das Verständnis dafür, wie der Partner, und seine IT-Infrastruktur, die Informationssysteme betreiben. Dazu muss man auch verstehen, wo der Unternehmenswert liegt und welche Auswirkungen Daten-Korruption, der Verlust von Verfügbarkeit und Kontrolle sowie ein Datenleck haben können – und das in Bezug auf die verschiedenen Element der Informationssysteme und Infrastruktur.
- Das Verständnis für Aufsichtskapazitäten und -verantwortlichkeiten sowie die Definition bewährter Aufgaben, die im Rahmen der gesamten Partnerschaft beibehalten werden müssen.
- Den derzeitigen Risiko-Management-Prozess des Partners identifizieren und verstehen. Dazu gehören Bedrohungen, Schwachstellen, Konsequenzen im Zusammenhang mit der IT, die Haltung des Managements zum Thema Risiko-Toleranz, Kriterien wonach Risiken vermieden, akzeptiert, übertragen und verringert werden – außerdem das Verhältnis zwischen Sicherheit und Risiko.
- Das Identifizieren von Datenschutz-Struktur und -Management des Partners. Das umfasst folgende Bereiche:
- Protection Management
- Protection Policy
- Standards und Abläufe
- Rechtliche Erwägungen
- Einsatz von Verschlüsselung
- Training und Ausbildung
- Sicherheitsbewusstsein
- Organisatorische Belange
- Dokumentation
- Sicherheits-Revisionen
- Sicherheitstests
- Technische Absicherungen
- Personelle Belange
- Physischer Schutz
- Reaktion auf Zwischenfälle