Unternehmensfhrung Titelthema

Tite Firma lthe ma

Pro

Wirtschaftsspionage

Vorsicht: Feind liest mit!

Telefone abhren, E-Mails mitlesen, in fremde Computer eindringen noch nie war es so einfach, sich vertrauliche Informationen zu beschaffen. Vor allem bei kleinen und mittleren deutschen Unternehmen haben Wirtschafts- und Industriespione oft ein leichtes Spiel.
VON PATRIK VON GLASOW

Sensible Daten, Geschftsgeheimnisse, Prototypen oder technische Unterlagen sollten auch im Mittelstand hinter gut gesicherten Tren aufbewahrt werden.

24

ProFirma 11 2010

Die Mitarbeiter der Rieder Faserbeton-Elemente GmbH in Kolbermoor trauten ihren Augen nicht. Whrend eines Rundgangs im Produktionsbereich hatte ein Gast aus China eine Minikamera am Grtel befestigt und machte Videoaufnahmen, obwohl dies vorab ausdrcklich verboten worden war. Aufmerksam wurden Rieder-Mitarbeiter durch verdchtige Kabel, die vom Grtel des Geschftsmanns herunterhingen. Die Sichtung ergab: Das Videomaterial enthielt wichtige Informationen, die man fr einen Nachbau von Rieders hochmodernen Glasfaserplatten htte nutzen knnen. Der Chinese wurde wegen des Verdachts auf Konkurrenzaussphung verhaftet. Nach drei Monaten in Untersuchungshaft verurteilte ihn das Landgericht Mnchen II im Dezember 2009 zu einer Bewhrungsstrafe von eineinhalb Jahren. Immer wieder berichten deutsche Verfassungsschtzer von hnlichen Fllen. Insbesondere die Nachrichtendienste der Volksrepublik China und der Russischen Fderation zeigen laut aktuellem Verfassungsschutzbericht starke Aktivitten im Bereich der Wirtschaftsspionage. Solche Aktivitten, die den wissenschaftlich-technischen Fortschritt in ihren Lndern voranbringen sollen, geschehen oft im staatlichen Auftrag, berichtet Walter Opfermann, Leiter des Referats Spionageabwehr beim Landesamt fr Verfassungsschutz Baden-Wrttemberg. Hug gibt es eine starke Kooperation zwischen Staat und Wirtschaft, daher ist nicht immer eindeutig auszumachen, ob es sich um einen staatlichen Angreifer oder um Konkurrenzaussphung handelt. Der Forschungs- und Industriestandort Deutschland steht seit vielen Jahren im Fokus fremder Nachrichtendienste und konkurrierender auslndischer Unternehmen. Im Zusammenhang mit dem wachsenden globalen Verdrngungswettbewerb sind Unternehmen der Bundesrepublik einem harten Konkurrenzkampf ausgesetzt, der auch mit illegalen Mitteln ausgetragen wird. So werden Wirtschaft und Wissenschaft von Geheimdiensten ausgeforscht (Wirtschaftsspionage), von Mitbewerbern legal ausgekundschaftet (Competitive Intelligence) oder illegal ausspioniert (Konkurrenzaussphung).

BERATUNG IN SICHERHEITSFRAGEN
Die Verfassungsschutzbehrden des Bundes und der Lnder untersttzen sowohl global aufgestellte als auch kleine und mittelstndische Unternehmen beim Wirtschaftsschutz. Sie bieten unter anderem folgenden Service an: > Informationsvortrge und Prsentation in Unternehmen und anderen Institutionen zum Phnomen Wirtschaftsspionage > Sensibilisierung von Management und Mitarbeitern fr die Belange des Know-how- und Informationsschutzes > Aufklrung ber potenzielle Gefahren und Schutzmanahmen bei Geschftsreisen in Staaten mit besonderen Sicherheitsrisiken > Kompetente Beratung und Untersttzung beim Verdacht auf Wirtschaftsspionage und absolut vertrauliche Behandlung aller Informationen > Umfangreiche Informationsangebote zum Wirtschaftsschutz auf der Website der Verfassungsschutzbehrden des Bundes und der Lnder Auf der Homepage des Bundesamts fr Verfassungsschutz nden sich die Adressen der Landesbehrden fr Verfassungsschutz: www.verfassungsschutz.de/landesbehoerden

Jedes vierte Unternehmen betroffen

Mindestens jedes vierte forschungsintensive Unternehmen (27 Prozent) ist im vorigen Jahr Opfer von unfreiwilligem Informationsabuss oder Spionage geworden. Das zeigt die Studie des Sicherheitsforums Baden-Wrttemberg zum Thema Know-how-Schutz in Baden-Wrttemberg, die im Mrz 2010 erschien. Diese Flle fhrten bei den betroffenen Unternehmen zu erheblichen Umsatzeinbuen, Beeintrchtigungen von Geschftsbeziehungen und strategischen Nachteilen gegenber Wettbewerbern. Im Allgemeinen ist die Schadensregulierung zeitintensiv und teuer: Je nach Vorfall zwischen 10.000 und zwei Millionen Euro. Die betroffenen Unternehmen beziffern ihre nanziellen Schden im Durchschnitt mit 171.000 Euro, wobei der Betrag bei forschungsintensiven Unternehmen mit 259.000 Euro deutlich hher ist. Die Untersuchungen des Verbands Deutscher Maschinen-

und Anlagenbau (VDMA) zeigen, dass zunehmend komplette Maschinen nachgebaut werden. Der VDMA geht nach einer Mitgliederbefragung im Mrz von einem durch Produktpiraterie verursachten Schaden von rund 6,4 Milliarden Euro allein fr den deutschen Maschinen- und Anlagenbau aus. 42 Prozent der Umfrageteilnehmer schtzen den Umsatzverlust auf mehr als fnf Prozent. Mehr als jedes zweite VDMA-Mitglied ist betroffen. Die Ziele der Wirtschaftsspione umfassen die gesamte Bandbreite der Industrie und Technologie. Das Hauptinteresse liegt erwartungsgem bei den Schlsselbranchen der Hochtechnologie. Dazu gehren neben den Maschinenbauern die Telekommunikation, die IT-Branche sowie die Luft- und Raumfahrtindustrie. Auch Biotechnologie, Pharmazeutik und Umwelttechnik stellen begehrte Ziele dar. Besonders leichtes Spiel haben die Spione bei den kleinen und mittelstndischen Unternehmen. Whrend die Konzerne ganze Sicherheitsabteilungen als Schutzschild haben, zeigen die Mittelstndler eine offene Flanke. Sie schtzen sich zu wenig und holen sich nicht die entsprechenden Experten, um notwendige Vorkehrungen zu installieren, sagt Dr. Berthold Stoppelkamp, Geschftsfhrer der Arbeitsgemeinschaft fr Sicherheit der Wirtschaft (ASW) in Berlin. Kein Unternehmen sollte sich in Sicherheit wiegen: Auch die Produktionsverfahren, Absatzwege, Preise, Margen oder Personalinformationen sind fr Angreifer interessant, sagt Christian Schaaf, Geschftsfhrer der Mnchener Sicherheitsberatung Corporate Trust.

ProFirma 11 2010

25

Unternehmensfhrung Titelthema

CHECKLISTE

berprfen Sie das Sicherheitskonzept Ihrer Firma

Das Sicherheitskonzept eines Unternehmens ruht nach der Studie des Sicherheitsforums BadenWrttemberg Know-how-Schutz 2009/10 auf zwei Sulen: Den Bereichen Personal und Geschftsablufe sowie Objekt- und IT-Sicherheit. Anhand der beiden folgenden Checklisten knnen Sie entsprechende Lcken in Ihrem Unternehmen identizieren.
PERSONAL UND GESCHFTSABLUFE
> Enthalten die Arbeitsvertrge Wettbewerbs- und Geheimhaltungsklauseln? > Existiert ein ethischer Verhaltenkodex fr die Mitarbeiter? > Ist sensibles Wissen nur fr relevante Mitarbeiter verfgbar? > Gibt es ein Compliance-Programm? > Werden die Mitarbeiter in Sicherheitsfragen geschult? > Besteht eine Risiko- und Schwachstellenanalyse? > Binden Sie Ihre Geschftspartner in das Sicherheitskonzept ein? > Existiert eine Risikoanalyse der Geschftspartner? > Haben die Mitarbeiter Sicherheitsanweisungen fr Auslandsreisen? > Knnen Mitarbeiter (auch anonym) Hinweise auf Sicherheitslcken oder Risiken geben?

OBJEKT- UND IT-SICHERHEIT

> Gibt es ein Schutzkonzept fr IT- und Telekommunikationssysteme? > Ist der Server-Bereich besonders geschtzt? > Besteht Passwortschutz auf allen Gerten? > Werden E-Mail-Verkehr, Daten und Netze verschlsselt? > Gibt es eine Zugangskontrolle zum Betriebsgelnde? > Werden besonders sensible Bereiche berwacht? > Werden die Betriebsdaten nach Gefhrdungsstufen segmentiert? > Besteht ein Abhrschutz fr TK-Anlagen und Besprechungsrume? > Werden solche Rume und Anlagen regelmig einer Lauschabwehrberprfung unterzogen?

Um aussagekrftige Informationen ber Strategien und Produkte von Unternehmen zu erhalten, bedarf es nicht einmal in jedem Fall illegaler Mittel. So lassen sich relevante Firmeninformationen oftmals durch die Auswertung frei zugnglicher Quellen beschaffen. Dies trifft besonders auf wissenschaftliche Ausarbeitungen wie Forschungsberichte und Diplomarbeiten zu. Interessante Einblicke liefern aber auch Werkszeitungen, Werbeinfos, Handbcher, Patent- beziehungsweise Lizenzunterlagen und schlielich Dokumentationen im Zusammenhang mit Qualittszertizierungen oder Beschreibungen zu versichernder Risiken. Auch die vielfltigen Mglichkeiten im World Wide Web und die persnliche Darstellung in sozialen Netzwerken liefern wertvolle Informationen sowie ideale Ansatzpunkte fr sogenannte Social-Engineering-Manahmen.

Kostenlose Know-how-Beschaffung
Die offene Gewinnung von Informationen bei gutglubigen Gesprchspartnern gehrt ebenfalls zum Handwerkszeug von Wirtschaftsspionen und Konkurrenzaussphern: Vor allem bei Messen, Kongressen und Werksbesichtigungen sind im Verlauf von Verkaufsverhandlungen oder Fachgesprchen Betriebsgeheimnisse schnell preisgegeben. Die Akquisitionsphase bei Neugeschften bietet potenziellen Kunden viele Mglichkeiten der kostenlosen Know-how-Beschaffung, zum Beispiel ber die Anforderung detaillierter Produkt- und Leis-

tungsbeschreibungen im Rahmen von Angeboten oder sogar die Entsendung von Personen zur Begutachtung der Firma des Lieferanten. Zum Einsatz kommen ebenso Geheimagenten, die getarnt als Journalisten oder Diplomaten auftreten, aber auch sogenannte Non-Professionals spielen eine Rolle. Dabei handelt es sich um unauffllige Studenten, Gastwissenschaftler und Praktikanten aus anderen Staaten. Sie halten sich zu Studienoder Ausbildungszwecken zeitlich befristet in Deutschland auf, fhlen sich jedoch ihren Heimatlndern manchmal ganz besonders verpichtet. Insbesondere chinesische Nachrichtendienste bedienen sich dieser Beschaffungsmethode. Auch die russische Staatsfhrung scheut kaum Anstrengungen, in den nchsten Jahren wirtschaftlich auf westlichen Standard zu kommen. Die Nachfolgeorganisationen des KGB haben ihre Wirtschaftsspionage stark ausgebaut. Seit dem Jahr 1998 berwacht der russische Inlandsgeheimdienst FSB mit dem berwachungsprogramm SORM II ofziell den gesamten E-Mail- und Internet-Verkehr, der ber russische Internet-Service-Provider abgewickelt wird. Auf der Grundlage des gleichnamigen Gesetzes mssen alle russischen Anbieter von Internet-Zugngen dem Nachrichtendienst einen stndigen Zugriff auf den Datenverkehr ermglichen, der in oder ber Russland abgewickelt wird. Zudem sind die Telefongesellschaften verpichtet, dem Inlandsnachrichtendienst einen permanenten Zugang zu Informationen ber Telefonkun-

26

ProFirma 11 2010

Quelle: Sicherheitsforum Baden-Wrttemberg

Abb. enthalten Sonderausstattungen.

FR JEDE AUFGABE DIE RICHTIGE LSUNG: DIE FIAT PROFESSIONAL TRANSPORTER.

Ob sauberer Erdgasantrieb, individuelle Branchenmobile, hervorragendes Ladevolumen oder zahlreiche Kongurationsmglichkeiten Fiat Professional erfllt einfach alle Ansprche. Genauso wie der Fiat Dobl Cargo bei der Wahl zum Van of the Year 2011. Sie sehen: Fiat Professional ist nicht nur Deutschlands Importeur Nr. 1, sondern auch die richtige Wahl fr Ihr Geschft. WIR LASSEN FAKTEN SPRECHEN.

Aktionsangebot zzgl. MwSt. und berfhrungskosten fr den Fiat Ducato Kastenwagen 28 L1H1 100 Multijet. Angebot fr gewerbliche Kunden, gltig bis 31.12.2010. Details bei Ihrem teilnehmenden, autorisierten Fiat Professional Hndler.

Unternehmensfhrung Titelthema

den und deren Telefongesprche zu gewhren. Die Folge: Alle Geschftsleute, die nach Russland reisen, mssen damit rechnen, bei Telefongesprchen oder bei Nutzung des Internets in das Blickfeld des FSB zu geraten und geheimdienstlich berwacht zu werden. Die Methoden von Wirtschaftsspionen oder beauftragten Informationsbeschaffern sind dabei sehr vielfltig. Sie reichen von Bestechung oder Erpressung von Mitarbeitern ber Hacking-Angriffe auf die Informationssysteme bis hin zum Einsatz modernster Miniwanzen, die in Mobiltelefonen oder Steckdosen verbaut werden. Auch winzige Scanner im Aktenvernichter sind heute Stand der Technik. Es mutet absurd an: Geheime Akten, die man zur Sicherheit in den Schredder schiebt, werden gerade dort kopiert und die Daten anschlieend weitergefunkt.

Vielfltiges Spionage-Potenzial
Das Potenzial konventioneller Angriffstechnik etwa mit Wanzen ist weiterhin erheblich. Mini-Aufzeichnungsgerte greifen Worte und Texte ab, wo sie entstehen und die Opfer arglos oder leichtsinnig sind: Im Bro, Besprechungsraum oder an der Bar. Die Daten werden abgeschpft, bevor sie verschlsselt werden knnen, beobachtet Volker Schnapp von der Fink Secure Communication GmbH in Ahorn, der als Experte fr Datenschutz und Lauschabwehr Konzerne und Mittelstndler bert. Das Arsenal der Angreifer reicht von prparierten Kugelschreibern und Glhbirnen bis hin zu manipulierten Rauchmeldern. Ebenfalls effektiv: Die verwanzte Kaffeekanne. Hiermit versorgt die Sekretrin nicht nur die Teilnehmer geheimer Konferenzen mit Heigetrnken, sondern gleich auch mithrende Wettbewerber mit vertraulichen Informationen.

Umstnden zum Wettbewerb. Um sich vor dem Verlust wichtiger Informationen zu schtzen, statten sicherheitsbewusste Firmen wie der Elektrowerkzeughersteller Stihl ihre DienstLaptops mit einer Blickschutzfolie aus. Vorsicht mit Datentrgern jeder Art sollten Geschftsleute auch bei Auslandsreisen walten lassen. So werden oftmals an der Grenze wichtige Daten von Laptops herunterkopiert. Schnapp rt Geschftsreisenden daher, nur diejenigen Kommunikations- und Speichermedien mitzufhren, die sie unbedingt bentigen. Im Idealfall werden spezielle Reise-Laptops verwendet, auf denen nur die relevanten Informationen fr das jeweilige Projekt gespeichert sind. Es sollten sich sonst keinerlei Informationen ber das Unternehmen, andere Projekte oder weitere vertrauliche Daten auf ihnen benden. Darber hinaus rt er zur Verschlsselung der sensiblen Daten: Es empehlt sich bei der Einreise, entweder mit einer durch Kryptographie geschtzten Festplatte zu arbeiten oder einen Laptop ohne Daten zu benutzen. Die Daten kann man dann separat auf einem verschlsselten USB-Datentrger mitfhren, den man immer bei sich trgt, so Schnapp. Wachsamkeit ist zudem bei der Annahme von Gast- und Werbegeschenken geboten sie knnten Lauscheinrichtungen oder Spionageprogramme enthalten. So bekam ein Mittelstndler aus der produzierenden Industrie in Norddeutschland von einem chinesischen Geschftspartner einen sehr edlen USB-Stick geschenkt. Er hatte sicherlich einen Wert von 100 Euro, und es wre schade gewesen, ihn wegzugwerfen, berichtet Sicherheitsberater Christian Schaaf. Zufllig entdeckte und prfte ein hauseigener IT-Experte den aufflligen Stick. Wie sich herausstellte, enthielt er ein Spionageprogramm. Htte der Manager ihn eingesetzt, wre der komplette Inhalt seines Laptops ins Ausland gemailt worden.

Der Feind im Inneren

Die Mitarbeiter mssen den Bildschirm sperren, wenn sie aus dem Bro gehen.
ANDREAS STEINER, STIHL-GRUPPE, WAIBLINGEN

Hat ein Unternehmen den Verdacht, dass es abgehrt wird, rckt Volker Schnapp mit bis zu acht Mitarbeitern im Betrieb an und zwar fast ausschlielich nachts oder an Wochenenden: Denn wir arbeiten sinnvollerweise meist verdeckt. Mit mobilen Rntgengerten holen die Experten zum Gegenschlag aus, um Gefahren aufzuspren und schlielich auszuschalten. Sogar Firmenwagen werden berprft, denn ein Lauscher kann mit einer GPS-Wanze die Bewegungen seines Opfers nachvollziehen. Aufzupassen gilt es auch beispielsweise bei Fahrten in ffentlichen Verkehrsmitteln. Hier stellen Arbeiten am Laptop ein signikantes Risiko dar. Ein kurzer Blick des Sitznachbarn auf den Monitor, und sensible Informationen gelangen unter

Nicht immer sind die Angreifer im staatlichen Auftrag aktiv. Hug handelt es sich auch um Spionage der Konkurrenz. Schaaf berichtet von einem Mitarbeiter eines Unternehmens, der verdchtigt wurde, sensible Firmendaten an einen Freund bei einem Mitbewerber herausgegeben zu haben. Bei der Untersuchung seines Laptops befand sich darin noch eine gebrannte CD, die einen Groteil der Kundendatenbank und etliche Projektplne enthielt. Meist haben Firmen Manahmen zum Schutz gegen Angriffe von auen, aber kaum Monitoring-Systeme, um auch den internen Trafc zu berwachen. Dabei knnten mit dieser Technik Angriffe durch Mitarbeiter von innen sehr schnell erkannt werden. In einem anderen Fall von Konkurrenzaussphung verlie der IT-Verantwortliche das Unternehmen und wechselte zur Konkurrenz in einem anderen Land. Zuvor installierte er auf einem Computer noch zwei Programme, die nach seinem Weggang regelmig sensible Informationen an eine fremde E-Mail-Adresse versandten. Wie sich spter herausstellte, hatte er auf diesem Weg Informationen abgesaugt, die seinem neuen Arbeitgeber halfen, ebenfalls ein Angebot bei

28

ProFirma 11 2010

INTERVIEW

Die Schwachstelle ist der Mensch

Christian Schaaf, Geschftsfhrer der Mnchener Sicherheitsberatung Corporate Trust, zu Know-how-Schutz, Mitarbeiterschulungen und Attacken von auslndischen Geheimdiensten.
DAS GESPRCH FHRTE PATRIK VON GLASOW

Herr Schaaf, der Spionageschwerpunkt liegt bei den forschungsintensiven Unternehmen. Knnen sich die brigen Firmen in Sicherheit wiegen? Schaaf: Nein, denn auch die Produktionsverfahren, Absatzwege, Preise, Margen oder Personalinformationen sind fr Angreifer interessant. Geht die grte Gefahr von HightechAttacken aus? Schaaf: Die grte Gefahr geht gar nicht von Hightech-Attacken aus, sondern sie liegt schlicht in der Schwachstelle Mensch. 70 Prozent der Tter sitzen hinter der Firewall und haben oft Vollzugriff auf alle sensiblen Daten. Was raten Sie fr den wirksamen Informationsschutz im Unternehmen? Schaaf: Fr den wirksamen Informationsschutz im Unternehmen ist ein ganzheitliches Sicherheitskonzept zu schaffen. Aus diesem Konzept knnen konkrete Handlungsanweisungen, Richtlinien und Verbote fr den einzelnen Mitarbeiter abgeleitet werden. Diese sollten den Mitarbeitern bekannt gemacht werden und verbindlich sein. Mit der Sensibilisierung von Mitarbeitern und natrlich auch klaren Vorgaben des Managements lsst sich hier bereits viel erreichen. So sollten alle Mitarbeiter des Unternehmens ein Awareness-Programm durchlaufen. Sollte man bei Einstellung eines chinesischen Praktikanten oder dem Kontakt mit einem chinesischen Wissenschaftler Vorsicht walten lassen? Schaaf: Jeder Mitarbeiter an einer sensiblen Position stellt einen gewissen Risikofaktor dar und sollte daher vor der

Einstellung entsprechend berprft werden. Bei auslndischen Mitarbeitern gilt dies besonders, weil man hier oftmals die vorgelegten Zeugnisse oder gemachten Angaben wesentlich schwerer auf Richtigkeit berprfen kann. Von China ist bekannt, dass von staatlicher Seite verstrkt Wirtschaftsspionage betrieben und dazu auch Einuss auf Landsleute im Ausland genommen wird, um an Informationen zu kommen. Daher sollte man bei Bewerbern

sein schaffen, dass Flurtratsch schaden kann und sensible Informationen nicht unntig an Kollegen weitergegeben werden sollten. Haben Sie weitere Vorschlge bezglich der Gefahr des Informationsabusses nach China oder fr die Kooperation mit chinesischen Unternehmen? Schaaf: Im Vorfeld von Joint Ventures mit chinesischen Firmen sollte auf jeden Fall ein Background-Check durch Sicherheitsspezialisten zum Unternehmen und den handelnden Personen durchgefhrt werden. Es sollte genau abgewogen werden, wie viele Informationen tatschlich an den Geschftspartner transferiert werden mssen. Auerdem sollte das Unternehmen durch entsprechende Vorsichtsmanahmen die IT- und Telekommunikationssicherheit gewhrleisten. Dazu zhlen beispielsweise spezielle Reise-Laptops, die nur eine Minimalkonguration aufweisen und auf denen mglichst keine vertraulichen Dokumente gespeichert sind, sowie Mglichkeiten fr eine verschlsselte Kommunikation. Was raten Sie, wenn man Opfer eines Angriffs aus China wird? Schaaf: Alle Vorflle und Verdachtsmomente sollten auf jeden Fall umfassend aufgeklrt werden. Hug gehen auch fremde Nachrichtendienste ber die Schwachstelle Mensch und haben einen internen Mitarbeiter angezapft. Bei konkreten Hinweisen oder Verdacht auf einen nachrichtendienstlichen Angriff aus China sollte auf jeden Fall auch Kontakt mit einem Landesamt oder dem Bundesamt fr Verfassungsschutz aufgenommen werden.

aus China eine entsprechende Vorsicht walten und einen Background-Check durch Sicherheitsspezialisten durchfhren lassen. Sie knnen klren, ob die vorgelegten Zeugnisse echt sind, die Angaben zu Beschftigungszeiten oder Qualikationen stimmen oder Beziehungen zu staatlichen Stellen bekannt sind. Raten Sie von einer Freundschaft mit einem chinesischen Mitarbeiter ab? Schaaf: Nein, natrlich nicht. Aber jeder Mitarbeiter sollte in Bezug auf Informationen ber seine Arbeit zurckhaltend sein, auch gegenber Kollegen, die nicht direkt in dem Bereich arbeiten. Unternehmen sollten bei den Mitarbeitern ein Bewusst-

Foto: Corporate Trust

ProFirma 11 2010

29

Unternehmensfhrung Titelthema

Whrend Konzerne ganze Sicherheitsabteilungen haben, zeigen viele Mittelstndler eine offene Flanke.
DR. BERTHOLD STOPPELKAMP, ASW BERLIN

Kunden abzugeben. Dies el erst sechs Wochen nach seinem Weggang auf. 70 Prozent der Tter sitzen ,hinter der Firewall und haben oft Vollzugriff auf alle sensiblen Daten, so Schaaf. Alle einschlgigen Untersuchungen zeigen, dass die grte Gefahr von den eigenen Mitarbeitern und den im Unternehmen ttigen Fremdrmen ausgeht. Besonders aufzupassen gilt es bei kurzzeitig beschftigten Arbeitskrften wie Praktikanten oder Angestellten von Fremdrmen, etwa Reinigungsrmen. Ein Zettel mit dem Passwort auf dem Monitor oder rmenwichtige Dokumente im Papierkorb knnen fr neugierige Konkurrenten von grtem Interesse sein. Fr Angehrige der Putzkolonne, die nach Feierabend die Geschftsrume reinigen, ist es auch kein Problem, unbemerkt einen sogenannten Keylogger an jedem beliebigen Rechner zu montieren, ein Gert etwa so gro wie ein USBStick. Dieser Keylogger wird zwischen Tastatur und Tastaturanschluss am PC gesteckt und greift alle Tastaturanschlge ab, bevor diese im PC verarbeitet werden, so Volker Schnapp. Natrlich knnen auf diese Weise auch Passwrter aller Art mitgelesen werden. Key-Logger werden meist im Sekretariat des Chefs installiert hier sind hug die Passwrter des Vorstands parat und werden auch die wichtigsten Geschftsbriefe geschrieben. Ein kompletter Schutz aller Informationen eines Unternehmens ist nicht mglich und hug auch nicht opportun, erklrt Dr. Giselher Dombach, Vorstand der GED Com AG in Braunschweig. Hug seien nur fnf Prozent aller Informatio-

nen essentiell fr das Unternehmen, aber diese Geschftsgeheimnisse mssten deniert und entsprechend geschtzt werden. Fr den wirksamen Informationsschutz im Unternehmen braucht es dann ein ganzheitliches Sicherheitskonzept: Aus diesem Konzept knnen konkrete Handlungsanweisungen, Richtlinien und Verbote fr den einzelnen Mitarbeiter abgeleitet werden. Diese sollten rmenweit bekannt gemacht werden und verbindlich sein, erklrt Corporate-Trust-Geschftsfhrer Schaaf. Eine Richtlinie schafft allerdings noch keine Sicherheit. Meist fhrt weder Zwang zum Ziel noch das Vertrauen darauf, dass Mitarbeiter die Anweisungen von allein befolgen. Mehr Erfolg verspricht es, gemeinsam mit der Geschftsfhrung eine sogenannte Security-Awareness-Kampagne zu organisieren. Hier gilt es, die Mitarbeiter im Rahmen der Kampagne fr das Thema Wirtschaftsspionage und Informationsdiebstahl zu interessieren, sowie um Verstndnis fr ntige Schutz- und Prventionsmanahmen und die Einhaltung der Regeln zu werben. Wenn wir ein gutes Know-how haben, mssen wir es auch gemeinsam schtzen, betont Wolfgang Rieder, Geschftsfhrer in Kolbermoor. Laut der Sicherheitsberatung Corporate Trust werden nur bei knapp 40 Prozent der Firmen Geheimhaltungsstufen klassiziert. Zu dieser vorbildlichen Minderheit mit klaren Vorgaben zum Umgang mit Informationen zhlt die Andreas Stihl AG & Co. KG in Waiblingen: Alle Dokumente bei uns sind in vier Sicherheitsstufen eingeteilt: ffentlich, offen fr dienstlichen Gebrauch, vertraulich, streng vertraulich, erlutert Andreas Steiner, Abteilungsreferent IT-Sicherheit der Stihl-Gruppe. Die Geschftsfhrung muss die richtigen Signale senden: Jeder muss das Gefhl haben, dass Informationsschutz einen sehr hohen Stellenwert besitzt und Chefsache ist. Mit dem Betriebsrat sollte der Firmenchef besprechen, wie sich ohne bermige Leistungs- und Verhaltenskontrolle die Erfolge der Mitarbeiter berprfen lassen. Der erste Awareness-Schritt knnte beispielsweise mit einer einfach zu installierenden Schutzmanahme verknpft werden etwa ein nur durch ein Passwort zu deaktivierender Bildschirmschoner. Dabei werden die Nutzer nun darber aufgeklrt, welche Gefahren beim unbefugten Zugriff auf den Rechner bestehen und welche Sicherheit ihre Daten durch den neuen Bildschirmschoner erlangen.

Richtlinien fr Firmenbesucher
Schnell und unkompliziert einzufhren sind Richtlinien bei Werksbesuchen: Bei uns gibt es klare Regelungen, was fotograert werden darf, so Wolfgang Rieder. Und bei Stihl mssen Besucher beispielsweise Kamerahandy und Videogerte an der Pforte abgeben und drfen nur in Begleitung durch das Werksgelnde gehen. Wichtig sind auch Regelungen fr den Zutritt zu Firmenbereichen wie die Forschungs- und Entwicklungsabteilung: Der Zugang zu den sicherheitsrelevanten Bereichen wird bei uns durch einen elektronischen Firmenausweis gesichert, so Andreas Steiner, Abteilungsreferent IT-

30

ProFirma 11 2010

Foto: ASW Berlin

Sicherheit der Stihl-Gruppe. Jhrlich wird bei uns abgefragt, welche Mitarbeiter einen Zugang in das Entwicklungszentrum fr ihre Arbeit bentigen. Die berechtigten Personen werden in einer Liste gefhrt. Weitere Lcken werden beispielsweise mit einem IT-Zugriffskonzept und Passwort-Richtlinien geschlossen. Unsere Mitarbeiter sind aufgefordert, den Bildschirm zu sperren, sobald sie das Bro verlassen, so Andreas Steiner. Und natrlich drfen keine Kennwrter an den Bildschirmen sichtbar angebracht sein. Neben klaren Anweisungen fr den E-Mail-Verkehr muss es auch eine Regelung geben, was das Entsorgen von Hardware und das Lschen von Datentrgern betrifft. Jeder neue Mitarbeiter bekommt bei uns eine eintgige Schulung ,EDV bei Stihl, erlutert Andreas Steiner. Hier wird auch das Thema Sicherheit beim Datentransfer behandelt und auf unsere Richtlinie hingewiesen. Bentigt ein Mitarbeiter ein Notebook, so wird er in einer gesonderten Schulung auf Sicherheit trainiert. Um Verste gegen die Schutzvorschriften aufzudecken, muss die Einhaltung regelmig kontrolliert werden. Dabei hilft beispielsweise die rote Karte: Ein regelmiger abendlicher Rundgang des Sicherheitschefs am besten zusammen mit dem Betriebsrat durch die Bros bewirkt oft Wunder, um das Sicherheitsbewusstsein zu steigern. Entdecken sie

einen Versto, wenn etwa geheime Dokumente offen herumliegen, hinterlassen sie am Arbeitsplatz des betreffenden Mitarbeiters eine rote Karte und zwar mit der Bitte um Rcksprache. Dieses Gesprch ndet nicht mit dem direkten Vorgesetzten, sondern noch eine Ebene darber statt. Auerdem werden die sicherheitsrelevanten Unterlagen eingesammelt und weggeschlossen. Geht man in allen Abteilungen so vor, wird man feststellen, wie sich das Sicherheitsbewusstsein der Mitarbeiter deutlich erhht, so Michael Sobbek, ehemals Sicherheitschef der Dresdner Bank und jetziger geschftsfhrender Gesellschafter von Janus Consulting. Werden Flle von Industrie- und Wirtschaftsspionage aufgedeckt, melden Unternehmen die Angriffe hug den Sicherheitsbehrden nicht, weil sie einen Imageverlust befrchten und an der Wahrung ihres Rufs sowie Schadensbegrenzung interessiert sind. Ein fataler Fehler: Geraten sensible Informationen in die falschen Hnde, ist es hug zu spt, einen Verlust von Marktanteilen oder im Extremfall die Insolvenz des Unternehmens zu vermeiden. Daher empehlt Dr. Stoppelkamp: Wir raten jedem Mittelstndler, sich bei Verdachtsmomenten von Spionageangriffen an den ASW und die Sicherheitsverbnde oder die Verfassungsschutzmter und die Polizei zu wenden.

Der zuverlssigste Weg beim Versand internationaler Geschftskorrespondenz.

Fr den weltweiten Versand von Tageskorrespondenz, Rechnungen, Offerten und Kontoauszgen gibts bei Swiss Post ein sicheres und zuverlssiges Angebot: Business Mail International. Damit erreichen Ihre Sendungen die richtigen Empfnger zu attraktiven Konditionen. Wnschen Sie eine persnliche Beratung? Gratisnummer 0800 18 17 000 oder www.swisspost.de

ProFirma 11 2010

31