silicon.de: Man hört, liest oder sieht im TV immer mal wieder was über Wirtschaftsspionage oder Datendiebstahl. Ist da was dran? Ist das, was ich so als Otto Normalverbraucher erfahre gar nur die Spitze des Eisbergs? Gibt es Zahlen oder Statistiken?
George: Sie unterscheiden völlig zu Recht zwischen Datenskandalen, Diebstahl von Informationen und Industriespionage auf der einen und Wirtschaftsspionage auf der anderen Seite. Wirtschaftsspionage geschieht durch Nachrichtendienste anderer Länder, und wird durch den Verfassungsschutz aufgeklärt. Bei den übrigen Sachverhalten ist die Polizei der richtige Ansprechpartner. Da Unternehmen diese Unterscheidung gerade am Anfang eines Falles kaum treffen können, sind Sie mit dem Verfassungsschutz “gut beraten”. Im Zweifel stellen wir auch den Kontakt zur zuständigen Stelle her. Genau diese Unterscheidung ist es auch, die eine Aussage zu Zahlen und Statistiken so schwer macht. Im Einzelfall kann der Schaden gleich mehrere Millionen Euro hoch sein. Meistens ist aber zum Zeitpunkt des Ereignisses der Schaden in der Zukunft nur schwer zu bemessen. Und, wie beurteilt man den Fall einer Firma, die durch einen ausländischen Investor gekauft werden konnte, weil im Vorfeld geheime strategische Informationen abgeflossen sind? Wenn Sie dazu noch den Umstand addieren, dass in den wenigsten Fällen ein Informationsabfluss überhaupt bemerkt wird, erahnen Sie welche Dimension der Eisberg hat.
silicon.de: Beschränken sich Angreifer auf bestimmte Branchen oder Unternehmen einer bestimmten Größenordnung?
George: Auch hier muss ich Sie leider enttäuschen. Viele Verantwortliche denken, dass Wirtschaftsspionage kein Thema für den Mittelstand ist. Leider ist das Gegenteil der Fall. In über 90 Prozent der Fälle sind es kleine oder mittelständische Unternehmen, die Opfer von Wirtschaftsspionage werden. Denn: Angreifer wählen meistens den Weg des geringsten Widerstandes. Warum sich an der Firewall eines Konzernes die Nase blutig schlagen, wenn das gleiche Know-how bei Zulieferern oder externen Dienstleistern leicht zu beschaffen ist?
Konzerne verfügen über andere Mittel und Möglichkeiten – sowohl in personeller als auch finanzieller Hinsicht – um sich dem Thema “Schutz vor Know-how-Verlust” besser widmen zu können.
silicon.de: Wenn man Spionage hört, denkt man unwillkürlich an Agenten wie James Bond…
George: (lacht), dieses Berufsbild hatte ich auch mal im Kopf… (lacht wieder)
… die meisten Menschen denken, Spione könne man am Äußeren erkennen. Aber gerade die Masse bietet doch bekanntlich den größten Schutz. Und glauben Sie mir: die sensibleren Informationen finden Sie knöcheltief in der Mülltonne eines Unternehmens als mit einem Wodka-Martini in der Hand auf einer luxuriösen Yacht.
silicon.de: Schade, das hätte dem Ganzen doch noch so etwas wie Glanz verliehen. Aber sind es denn eher Nationen (wie USA oder China) oder eher Konkurrenten, die versuchen, unrechtmäßig an das Wissen eines Mittelständlers heranzukommen?
George: Was Nachrichtendienste angeht, so sagt man, Spionage sei das zweitälteste Gewerbe der Welt, aber mit öffentlichen Aussagen zu Aufgabenbereichen und Aktivitäten der jeweiligen Dienste halten sich Staaten naturgemäß bedeckt. Einige Länder wie beispielsweise Russland betonen aber die Rolle der Geheimdienste nicht nur öffentlich, sondern schreiben gewisse Zuständigkeiten für jedermann nachlesbar ins Gesetz. So legt Russland in Art. 5 zum Gesetz der Russischen Föderation, die Förderung der wirtschaftlichen Entwicklung auch in die Hände der Organe der Auslandsaufklärung, also dem Nachrichtendienst.
Aber Dinge ändern sich. Mit ein wenig krimineller Energie und etwas Internetrecherche bekommen heute auch Privatpersonen fast alles, was das Spionageherz begehrt. Dies geht bis hin zum Abhören von Telefonen. Maßnahmen also, die noch bis vor wenigen Jahren staatlichen Stellen vorbehalten waren.
Die Unterscheidung, wer Urheber der Ausspähungsaktivitäten ist, wird dadurch auch für uns immer schwieriger.
silicon.de: Ist der ‘Feind’ eher innerhalb oder außerhalb des Unternehmens zu suchen?
George: Sowohl als auch: prinzipiell benötigen Sie immer einen Wissensträger, um an Informationen zu gelangen. Dies kann ein Mitarbeiter, eine Computerfestplatte oder ein Blatt Papier mit vertraulichem Inhalt sein. Oder denken Sie an das Flipchart aus der letzten Besprechung. Dementsprechend unterschiedlich sind Angriffsszenarien, aber auch Maßnahmen zum Schutz von Interna: Loyalität, Mitarbeiter-Awareness, IT-Sicherheit, die Auswahl externer Dienstleister und organisatorische Regelungen müssen ganzheitlich ineinander greifen.
silicon.de: Das hört sich ganz schön aufwendig an. Ich habe von Erfindern gehört, die ihre Ideen nur noch zu Papier bringen und nicht in einen Rechner geben, weil sie Angst davor haben, dass die Idee gestohlen wird. Das kann aber auch nicht immer die Lösung sein?
George: Nein sicher nicht. Das wäre ein wenig wie Selbstmord aus Angst vor dem Tod (lacht). Aber es ist auch ein sehr gutes Beispiel. Der Erfinder speichert die Sachen ja deshalb nicht auf seinem Computer, weil er glaubt, seine Erfindung sei dort nicht sicher und könnte gestohlen werden. Er misstraut also der Sicherheit des Computers, was vom Prinzip her auch richtig ist, denn eine hundertprozentige Sicherheit kann auf Computersystemen nahezu nicht erreicht werden. Gerade in Hinblick auf Schnittstellenvielfalt und Vernetzung. Zwei Möglichkeiten bleiben dem Erfinder also: Keine ihm wichtigen Informationen auf dem System zu speichern oder – und das ist das Entscheidende – seine sensiblen Daten zusätzlich, zum Beispiel durch Verschlüsselung zu schützen. Das Schlagwort lautet: Informationsbezogene Sicherheit. Genau das ist auch unsere Empfehlung: Identifizieren Sie die Top-Betriebsgeheimnisse – dies sind in aller Regel nicht mehr als fünf Prozent Ihrer Unternehmensdaten und schützen Sie diese ganz gezielt. Natürlich sollten Sie herkömmliche Sicherheitsstandards wie Firewall, Antivirenschutz und so weiter nicht vernachlässigen – aber im Zeitalter immer größerer Risiken im IT-Bereich reicht herkömmliche Perimeter-Sicherheit nicht mehr aus. Im Übrigen bezieht sich diese Strategie zum Know-how-Schutz nicht nur auf IT-Systeme, sondern gilt umfassend im ganzen Unternehmen. Selbst wenn der Erfinder also seine Idee nur auf Papier “speichert”, sollte er dieses vor unbefugten Zugriff anders schützen, als andere Unterlagen. Neben diesen Maßnahmen der IT-Sicherheit und den organisatorischen Dingen ist mir aber noch ganz wichtig auf einen weiteren Punkt hinzuweisen, ohne den der ganzheitlicher Know-how-Schutz wirkungslos bleibt. Der Faktor Mensch. Nur ein loyaler und gut geschulter Mitarbeiter trägt zur Gesamtsicherheit im Unternehmen bei. Gerade deshalb müssen awareness- und loyalitätsbildende Maßnahmen integrativer Bestandteil jedes Sicherheitskonzeptes sein.
silicon.de: In wie weit kann denn der Verfassungsschutz den Unternehmen bei diesem Problemen helfen. Oder sind die Unternehmen hier ganz alleine in der Verantwortung?
George: Die Verantwortung liegt natürlich bei den Unternehmen aber wir unterstützen die Wirtschaft in zweierlei Hinsicht: Zum einen können wir als einzige Behörde auf Wunsch Vertraulichkeit im Umgang mit Verdachtsfällen zusichern, zum anderen bietet der Verfassungsschutz zahlreiche Informationen rund um das Thema Informationssicherheit mit Beispielen, Onlinetests, Handlungsempfehlungen und Sicherheitspartnerschaften an.
Unter wirtschaftsschutz.bayern.de können Sie auch unser virtuelles Unternehmen besuchen, das Ihnen einen Einblick in Gefährdungen und Lösungen zu Themen der Wirtschaftsspionage ermöglicht. Dort können Sie auch in einer Onlinebibliothek Broschüren und Publikationen kostenfrei herunterladen.
Oder Sie rufen mich einfach an. Meine Nummer ist nicht geheim…
silicon.de: Herr George, wir danken Ihnen für das Gespräch.
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…
Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…
View Comments
Spionage
Leider ist es nicht richtig, daß Spionage nur vom Ausland ins Inland läuft. Leider betätigen sich auch viele deutsche Unternehmen im Bereich des Geheimnisverrates und der Auskundschaftung. Wer im Maschinenbau tätig ist, kennt die Auskundschafterei und Abkupferei auf Messen, es werden Maschinen beim Messeaufbau mal so eben nebenbei fotografiert um konstruktive Details des Mitbewerbers zu erlangen. Aber es werden auch skrupellos durch die Kundschaft technische Details eines Anbieters an den "bevorzugten" Lieferanten weitergegeben. Alltag in der heutigen Bundesrepublik Deutschland. In diesem unseren Lande hat keiner mehr Berechtigung, mit den Fingern auf Chinesen & Co zu zeigen. Man ist da genauso übel und perfide. Und man muß mal fragen, in wie weit deutsche "Dienste" auch darin verstrickt sind, nach dem Motto: "Haltet den Dieb!"