Sie sind auf Seite 1von 8

Unternehmensführung – Titelthema

ProFirma Titelthema
ProFirma
Titelthema

Wirtschaftsspionage

Vorsicht: Feind liest mit!

Telefone abhören, E-Mails mitlesen, in fremde Computer eindringen – noch nie war es so einfach, sich vertrauliche Informationen zu beschaffen. Vor allem bei kleinen und mittleren deutschen Unternehmen haben Wirtschafts- und Industriespione oft ein

leichtes Spiel. VON PATRIK VON GLASOW

24

Sensible Daten, Geschäftsgeheimnisse, Prototypen oder technische Unterlagen sollten auch im Mittelstand hinter gut gesicherten Türen aufbewahrt werden.

ProFirma 11 2010

Die Mitarbeiter der Rieder Faserbeton-Elemente GmbH in Kolbermoor trauten ihren Augen nicht. Während eines Rund- gangs im Produktionsbereich hatte ein Gast aus China eine Minikamera am Gürtel befestigt und machte Videoaufnah- men, obwohl dies vorab ausdrücklich verboten worden war. Aufmerksam wurden Rieder-Mitarbeiter durch verdächtige Kabel, die vom Gürtel des Geschäftsmanns herunterhingen. Die Sichtung ergab: Das Videomaterial enthielt wichtige In- formationen, die man für einen Nachbau von Rieders hoch- modernen Glasfaserplatten hätte nutzen können. Der Chinese wurde wegen des Verdachts auf Konkurrenzausspähung ver- haftet. Nach drei Monaten in Untersuchungshaft verurteilte ihn das Landgericht München II im Dezember 2009 zu einer Bewährungsstrafe von eineinhalb Jahren. Immer wieder berichten deutsche Verfassungsschützer von ähnlichen Fällen. Insbesondere die Nachrichtendienste der Volksrepublik China und der Russischen Föderation zeigen laut aktuellem Verfassungsschutzbericht starke Aktivitäten im Bereich der Wirtschaftsspionage. „Solche Aktivitäten, die den wissenschaftlich-technischen Fortschritt in ihren Ländern voranbringen sollen, geschehen oft im staatlichen Auftrag“, berichtet Walter Opfermann, Leiter des Referats Spionageabwehr beim Landesamt für Verfassungsschutz Baden-Württemberg. „Häufig gibt es eine starke Kooperation zwischen Staat und Wirtschaft, daher ist nicht immer eindeu- tig auszumachen, ob es sich um einen staatlichen Angreifer oder um Konkurrenzausspähung handelt.“ Der Forschungs- und Industriestandort Deutschland steht seit vielen Jahren im Fokus fremder Nachrichtendienste und konkurrierender ausländischer Unternehmen. Im Zusam- menhang mit dem wachsenden globalen Verdrängungswett- bewerb sind Unternehmen der Bundesrepublik einem harten Konkurrenzkampf ausgesetzt, der auch mit illegalen Mitteln ausgetragen wird. So werden Wirtschaft und Wissenschaft von Geheimdiensten ausgeforscht (Wirtschaftsspionage), von Mitbewerbern legal ausgekundschaftet (Competitive Intelli- gence) oder illegal ausspioniert (Konkurrenzausspähung).

Jedes vierte Unternehmen betroffen

Mindestens jedes vierte forschungsintensive Unternehmen (27 Prozent) ist im vorigen Jahr Opfer von unfreiwilligem Informationsabfluss oder Spionage geworden. Das zeigt die Studie des Sicherheitsforums Baden-Württemberg zum Thema „Know-how-Schutz in Baden-Württemberg“, die im März 2010 erschien. Diese Fälle führten bei den betroffenen Unternehmen zu erheblichen Umsatzeinbußen, Beeinträchti- gungen von Geschäftsbeziehungen und strategischen Nach- teilen gegenüber Wettbewerbern. Im Allgemeinen ist die Schadensregulierung zeitintensiv und teuer: Je nach Vorfall zwischen 10.000 und zwei Millionen Euro. Die betroffenen Unternehmen beziffern ihre finanziellen Schäden im Durch- schnitt mit 171.000 Euro, wobei der Betrag bei forschungsin- tensiven Unternehmen mit 259.000 Euro deutlich höher ist. Die Untersuchungen des Verbands Deutscher Maschinen-

ProFirma 11 2010

BERATUNG IN SICHERHEITSFRAGEN

Die Verfassungsschutzbehörden des Bundes und der Länder unterstützen sowohl global aufgestellte als auch kleine und mittelständische Unternehmen beim Wirtschaftsschutz. Sie bieten unter anderem folgenden Service an:

> Informationsvorträge und Präsentation in Unternehmen und anderen Institutionen zum Phänomen Wirtschaftsspionage

> Sensibilisierung von Management und Mitarbeitern für die Belange des Know-how- und Informationsschutzes

> Aufklärung über potenzielle Gefahren und Schutzmaßnah- men bei Geschäftsreisen in Staaten mit besonderen Sicher- heitsrisiken

> Kompetente Beratung und Unterstützung beim Verdacht auf Wirtschaftsspionage und absolut vertrauliche Behandlung aller Informationen

> Umfangreiche Informationsangebote zum Wirtschaftsschutz auf der Website der Verfassungsschutzbehörden des Bundes und der Länder

Auf der Homepage des Bundesamts für Verfassungsschutz nden sich die Adressen der Landesbehörden für Verfassungs- schutz: www.verfassungsschutz.de/landesbehoerden

und Anlagenbau (VDMA) zeigen, dass zunehmend komplette Maschinen nachgebaut werden. Der VDMA geht nach einer Mitgliederbefragung im März von einem durch Produktpira- terie verursachten Schaden von rund 6,4 Milliarden Euro al- lein für den deutschen Maschinen- und Anlagenbau aus. 42 Prozent der Umfrageteilnehmer schätzen den Umsatzverlust auf mehr als fünf Prozent. Mehr als jedes zweite VDMA-Mit- glied ist betroffen. Die Ziele der Wirtschaftsspione umfassen die gesamte Bandbreite der Industrie und Technologie. Das Hauptinteresse liegt erwartungsgemäß bei den Schlüsselbran- chen der Hochtechnologie. Dazu gehören neben den Maschi- nenbauern die Telekommunikation, die IT-Branche sowie die Luft- und Raumfahrtindustrie. Auch Biotechnologie, Pharma- zeutik und Umwelttechnik stellen begehrte Ziele dar. Besonders leichtes Spiel haben die Spione bei den kleinen und mittelständischen Unternehmen. „Während die Konzerne ganze Sicherheitsabteilungen als Schutzschild haben, zeigen die Mittelständler eine offene Flanke. Sie schützen sich zu wenig und holen sich nicht die entsprechenden Experten, um notwendige Vorkehrungen zu installieren“, sagt Dr. Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) in Berlin. Kein Unternehmen sollte sich in Sicherheit wiegen: „Auch die Produktionsverfahren, Absatzwege, Preise, Margen oder Personalinformationen sind für Angreifer interessant“, sagt Christian Schaaf, Geschäftsführer der Münchener Sicherheits- beratung Corporate Trust.

interessant“, sagt Christian Schaaf, Geschäftsführer der Münchener Sicherheits- beratung Corporate Trust. 25

25

Unternehmensführung – Titelthema

CHECKLISTE Überprüfen Sie das Sicherheitskonzept Ihrer Firma Das Sicherheitskonzept eines Unternehmens ruht nach der
CHECKLISTE
Überprüfen Sie das Sicherheitskonzept Ihrer Firma
Das Sicherheitskonzept eines Unternehmens ruht nach der Studie des Sicherheitsforums Baden-
Württemberg „Know-how-Schutz 2009/10“ auf zwei Säulen: Den Bereichen „Personal und Geschäfts-
abläufe“ sowie „Objekt- und IT-Sicherheit“. Anhand der beiden folgenden Checklisten können
Sie entsprechende Lücken in Ihrem Unternehmen identifizieren.
PERSONAL UND GESCHÄFTSABLÄUFE
OBJEKT- UND IT-SICHERHEIT
> Enthalten die Arbeitsverträge Wettbewerbs- und Geheim-
haltungsklauseln?
> Gibt es ein Schutzkonzept für IT- und Telekommuni-
kationssysteme?
> Existiert ein ethischer Verhaltenkodex für die Mitarbeiter?
> Ist der Server-Bereich besonders geschützt?
> Ist sensibles Wissen nur für relevante Mitarbeiter verfügbar?
> Besteht Passwortschutz auf allen Geräten?
> Gibt es ein Compliance-Programm?
> Werden die Mitarbeiter in Sicherheitsfragen geschult?
> Werden E-Mail-Verkehr, Daten und Netze
verschlüsselt?
> Besteht eine Risiko- und Schwachstellenanalyse?
> Gibt es eine Zugangskontrolle zum Betriebsgelände?
> Binden Sie Ihre Geschäftspartner in das Sicherheitskonzept
ein?
> Werden besonders sensible Bereiche überwacht?
> Existiert eine Risikoanalyse der Geschäftspartner?
> Werden die Betriebsdaten nach Gefährdungsstufen
segmentiert?
> Haben die Mitarbeiter Sicherheitsanweisungen für Auslands-
reisen?
> Besteht ein Abhörschutz für TK-Anlagen und
Besprechungsräume?
> Können Mitarbeiter (auch anonym) Hinweise auf Sicherheits-
lücken oder Risiken geben?
> Werden solche Räume und Anlagen regelmäßig einer
Lauschabwehrüberprüfung unterzogen?
Quelle: Sicherheitsforum Baden-Württemberg

26

Um aussagekräftige Informationen über Strategien und Pro- dukte von Unternehmen zu erhalten, bedarf es nicht einmal in jedem Fall illegaler Mittel. So lassen sich relevante Firmenin- formationen oftmals durch die Auswertung frei zugänglicher Quellen beschaffen. Dies trifft besonders auf wissenschaftliche Ausarbeitungen wie Forschungsberichte und Diplomarbeiten zu. Interessante Einblicke liefern aber auch Werkszeitungen, Werbeinfos, Handbücher, Patent- beziehungsweise Lizenzun- terlagen und schließlich Dokumentationen im Zusammen- hang mit Qualitätszertifizierungen oder Beschreibungen zu versichernder Risiken. Auch die vielfältigen Möglichkeiten im World Wide Web und die persönliche Darstellung in sozialen Netzwerken liefern wertvolle Informationen sowie ideale An- satzpunkte für sogenannte Social-Engineering-Maßnahmen.

Kostenlose Know-how-Beschaffung

Die offene Gewinnung von Informationen bei gutgläubigen Gesprächspartnern gehört ebenfalls zum Handwerkszeug von Wirtschaftsspionen und Konkurrenzausspähern: Vor allem bei Messen, Kongressen und Werksbesichtigungen sind im Verlauf von Verkaufsverhandlungen oder Fachgesprächen Betriebsgeheimnisse schnell preisgegeben. Die Akquisitions- phase bei Neugeschäften bietet potenziellen Kunden viele Möglichkeiten der kostenlosen Know-how-Beschaffung, zum Beispiel über die Anforderung detaillierter Produkt- und Leis-

tungsbeschreibungen im Rahmen von Angeboten oder sogar die Entsendung von Personen zur Begutachtung der Firma des Lieferanten. Zum Einsatz kommen ebenso Geheimagenten, die getarnt als Journalisten oder Diplomaten auftreten, aber auch soge- nannte Non-Professionals spielen eine Rolle. Dabei handelt es sich um unauffällige Studenten, Gastwissenschaftler und Praktikanten aus anderen Staaten. Sie halten sich zu Studien- oder Ausbildungszwecken zeitlich befristet in Deutschland auf, fühlen sich jedoch ihren Heimatländern manchmal ganz besonders verpflichtet. Insbesondere chinesische Nachrich- tendienste bedienen sich dieser Beschaffungsmethode. Auch die russische Staatsführung scheut kaum Anstren- gungen, in den nächsten Jahren wirtschaftlich auf westlichen Standard zu kommen. Die Nachfolgeorganisationen des KGB haben ihre Wirtschaftsspionage stark ausgebaut. Seit dem Jahr 1998 überwacht der russische Inlandsgeheimdienst FSB mit dem Überwachungsprogramm SORM II offiziell den ge- samten E-Mail- und Internet-Verkehr, der über russische In- ternet-Service-Provider abgewickelt wird. Auf der Grundlage des gleichnamigen Gesetzes müssen alle russischen Anbieter von Internet-Zugängen dem Nachrichtendienst einen stän- digen Zugriff auf den Datenverkehr ermöglichen, der in oder über Russland abgewickelt wird. Zudem sind die Telefonge- sellschaften verpflichtet, dem Inlandsnachrichtendienst einen permanenten Zugang zu Informationen über Telefonkun-

verpflichtet, dem Inlandsnachrichtendienst einen permanenten Zugang zu Informationen über Telefonkun- ProFirma 11 2010

ProFirma 11 2010

Abb. enthalten Sonderausstattungen. FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG: DIE FIAT PROFESSIONAL TRANSPORTER. Ob sauberer
Abb. enthalten Sonderausstattungen. FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG: DIE FIAT PROFESSIONAL TRANSPORTER. Ob sauberer

Abb. enthalten Sonderausstattungen.

Abb. enthalten Sonderausstattungen. FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG: DIE FIAT PROFESSIONAL TRANSPORTER. Ob sauberer
Abb. enthalten Sonderausstattungen. FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG: DIE FIAT PROFESSIONAL TRANSPORTER. Ob sauberer
Abb. enthalten Sonderausstattungen. FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG: DIE FIAT PROFESSIONAL TRANSPORTER. Ob sauberer

FÜR JEDE AUFGABE DIE RICHTIGE LÖSUNG:

DIE FIAT PROFESSIONAL TRANSPORTER.

Ob sauberer Erdgasantrieb, individuelle Branchenmobile, hervorragendes Ladevolumen oder zahlreicheKonfigurationsmöglichkeiten–FiatProfessionalerfüllteinfachalleAnsprüche.Genauso wie der Fiat Doblò Cargo bei der Wahl zum „Van of the Year 2011“. Sie sehen: Fiat Professional ist nicht nur Deutschlands Importeur Nr. 1, sondern auch die richtige Wahl für Ihr Geschäft.

WIR LASSEN FAKTEN SPRECHEN.

Wahl für Ihr Geschäft. WIR LASSEN FAKTEN SPRECHEN. 1 Aktionsangebot zzgl. MwSt. und Überführungskosten

1 Aktionsangebot zzgl. MwSt. und Überführungskosten für den Fiat Ducato Kastenwagen 28 L1H1 100 Multijet. Angebot für gewerbliche Kunden, gültig bis 31.12.2010. Details bei Ihrem teilnehmenden, autorisierten Fiat Professional Händler.

gewerbliche Kunden, gültig bis 31.12.2010. Details bei Ihrem teilnehmenden, autorisierten Fiat Professional Händler.

Unternehmensführung – Titelthema

den und deren Telefongespräche zu gewähren. Die Folge:

Alle Geschäftsleute, die nach Russland reisen, müssen damit rechnen, bei Telefongesprächen oder bei Nutzung des Inter- nets in das Blickfeld des FSB zu geraten und geheimdienstlich überwacht zu werden. Die Methoden von Wirtschaftsspionen oder beauftragten „Informationsbeschaffern“ sind dabei sehr vielfältig. Sie rei- chen von Bestechung oder Erpressung von Mitarbeitern über Hacking-Angriffe auf die Informationssysteme bis hin zum Einsatz modernster Miniwanzen, die in Mobiltelefonen oder Steckdosen verbaut werden. Auch winzige Scanner im Ak- tenvernichter sind heute Stand der Technik. Es mutet absurd an: Geheime Akten, die man zur Sicherheit in den Schredder schiebt, werden gerade dort kopiert und die Daten anschlie- ßend weitergefunkt.

Vielfältiges Spionage-Potenzial

Das Potenzial konventioneller Angriffstechnik – etwa mit Wanzen – ist weiterhin erheblich. Mini-Aufzeichnungsgeräte greifen Worte und Texte ab, wo sie entstehen und die Opfer arglos oder leichtsinnig sind: Im Büro, Besprechungsraum oder an der Bar. „Die Daten werden abgeschöpft, bevor sie verschlüsselt werden können“, beobachtet Volker Schnapp von der Fink Secure Communication GmbH in Ahorn, der als Experte für Datenschutz und Lauschabwehr Konzerne und Mittelständler berät. Das Arsenal der Angreifer reicht von präparierten Kugelschreibern und Glühbirnen bis hin zu ma- nipulierten Rauchmeldern. Ebenfalls effektiv: Die verwanzte Kaffeekanne. Hiermit versorgt die Sekretärin nicht nur die Teilnehmer geheimer Konferenzen mit Heißgetränken, son- dern gleich auch mithörende Wettbewerber mit vertraulichen Informationen.

„Die Mitarbeiter müssen den Bildschirm sperren, wenn sie aus dem Büro gehen.“

ANDREAS STEINER, STIHL-GRUPPE, WAIBLINGEN

Hat ein Unternehmen den Verdacht, dass es abgehört wird, rückt Volker Schnapp mit bis zu acht Mitarbeitern im Betrieb an – und zwar fast ausschließlich nachts oder an Wochenen- den: „Denn wir arbeiten sinnvollerweise meist verdeckt.“ Mit mobilen Röntgengeräten holen die Experten zum Gegen- schlag aus, um Gefahren aufzuspüren und schließlich aus- zuschalten. Sogar Firmenwagen werden überprüft, denn ein Lauscher kann mit einer GPS-Wanze die Bewegungen seines Opfers nachvollziehen. Aufzupassen gilt es auch beispielsweise bei Fahrten in öffent- lichen Verkehrsmitteln. Hier stellen Arbeiten am Laptop ein signifikantes Risiko dar. Ein kurzer Blick des Sitznachbarn auf den Monitor, und sensible Informationen gelangen unter

28

Umständen zum Wettbewerb. Um sich vor dem Verlust wich- tiger Informationen zu schützen, statten sicherheitsbewusste Firmen wie der Elektrowerkzeughersteller Stihl ihre Dienst- Laptops mit einer Blickschutzfolie aus. Vorsicht mit Datenträgern jeder Art sollten Geschäftsleute auch bei Auslandsreisen walten lassen. So werden oftmals an der Grenze wichtige Daten von Laptops herunterkopiert. Schnapp rät Geschäftsreisenden daher, nur diejenigen Kom- munikations- und Speichermedien mitzuführen, die sie unbe- dingt benötigen. „Im Idealfall werden spezielle Reise-Laptops verwendet, auf denen nur die relevanten Informationen für das jeweilige Projekt gespeichert sind.“ Es sollten sich sonst keinerlei Informationen über das Unternehmen, andere Pro- jekte oder weitere vertrauliche Daten auf ihnen befinden. Da- rüber hinaus rät er zur Verschlüsselung der sensiblen Daten:

„Es empfiehlt sich bei der Einreise, entweder mit einer durch Kryptographie geschützten Festplatte zu arbeiten oder einen Laptop ohne Daten zu benutzen. Die Daten kann man dann separat auf einem verschlüsselten USB-Datenträger mitfüh- ren, den man immer bei sich trägt“, so Schnapp. Wachsamkeit ist zudem bei der Annahme von Gast- und Wer- begeschenken geboten – sie könnten Lauscheinrichtungen oder Spionageprogramme enthalten. So bekam ein Mittel- ständler aus der produzierenden Industrie in Norddeutschland von einem chinesischen Geschäftspartner einen sehr edlen USB-Stick geschenkt. „Er hatte sicherlich einen Wert von 100 Euro, und es wäre schade gewesen, ihn wegzugwerfen“, be- richtet Sicherheitsberater Christian Schaaf. Zufällig entdeckte und prüfte ein hauseigener IT-Experte den auffälligen Stick. „Wie sich herausstellte, enthielt er ein Spionageprogramm. Hätte der Manager ihn eingesetzt, wäre der komplette Inhalt seines Laptops ins Ausland gemailt worden.“

Der Feind im Inneren

Nicht immer sind die Angreifer im staatlichen Auftrag aktiv. Häufig handelt es sich auch um Spionage der Konkurrenz. Schaaf berichtet von einem Mitarbeiter eines Unternehmens, der verdächtigt wurde, sensible Firmendaten an einen Freund bei einem Mitbewerber herausgegeben zu haben. Bei der Un- tersuchung seines Laptops befand sich darin noch eine ge- brannte CD, die einen Großteil der Kundendatenbank und et- liche Projektpläne enthielt. Meist haben Firmen Maßnahmen zum Schutz gegen Angriffe von außen, aber kaum Monito- ring-Systeme, um auch den internen Traffic zu überwachen. Dabei könnten mit dieser Technik Angriffe durch Mitarbeiter von innen sehr schnell erkannt werden. In einem anderen Fall von Konkurrenzausspähung verließ der IT-Verantwortliche das Unternehmen und wechselte zur Konkurrenz in einem anderen Land. Zuvor installierte er auf einem Computer noch zwei Programme, die nach seinem Weggang regelmäßig sensible Informationen an eine frem- de E-Mail-Adresse versandten. Wie sich später herausstellte, hatte er auf diesem Weg Informationen abgesaugt, die sei- nem neuen Arbeitgeber halfen, ebenfalls ein Angebot bei

auf diesem Weg Informationen abgesaugt, die sei- nem neuen Arbeitgeber halfen, ebenfalls ein Angebot bei ProFirma

ProFirma 11 2010

Foto: Corporate Trust

INTERVIEW

„Die Schwachstelle ist der Mensch“

Christian Schaaf, Geschäftsführer der Münchener Sicherheitsberatung Corporate Trust, zu Know-how-Schutz, Mitarbeiterschulungen und Attacken von ausländischen Geheimdiensten.

DAS GESPRÄCH FÜHRTE PATRIK VON GLASOW

Herr Schaaf, der Spionageschwerpunkt liegt bei den forschungsintensiven Un- ternehmen. Können sich die übrigen Fir- men in Sicherheit wiegen? Schaaf: Nein, denn auch die Produkti- onsverfahren, Absatzwege, Preise, Mar- gen oder Personalinformationen sind für Angreifer interessant.

Geht die größte Gefahr von Hightech- Attacken aus? Schaaf: Die größte Gefahr geht gar nicht von Hightech-Attacken aus, sondern sie liegt schlicht in der Schwachstelle Mensch. 70 Prozent der Täter sitzen hin- ter der Firewall und haben oft Vollzugriff auf alle sensiblen Daten.

Was raten Sie für den wirksamen Infor- mationsschutz im Unternehmen? Schaaf: Für den wirksamen Informa- tionsschutz im Unternehmen ist ein ganzheitliches Sicherheitskonzept zu schaffen. Aus diesem Konzept können konkrete Handlungsanweisungen, Richt- linien und Verbote für den einzelnen Mitarbeiter abgeleitet werden. Diese sollten den Mitarbeitern bekannt ge- macht werden und verbindlich sein. Mit der Sensibilisierung von Mitarbeitern und natürlich auch klaren Vorgaben des Managements lässt sich hier bereits viel erreichen. So sollten alle Mitarbeiter des Unternehmens ein „Awareness-Pro- gramm durchlaufen.

Sollte man bei Einstellung eines chine- sischen Praktikanten oder dem Kontakt mit einem chinesischen Wissenschaftler Vorsicht walten lassen? Schaaf: Jeder Mitarbeiter an einer sen- siblen Position stellt einen gewissen Ri- sikofaktor dar und sollte daher vor der

Einstellung entsprechend überprüft wer- den. Bei ausländischen Mitarbeitern gilt dies besonders, weil man hier oftmals die vorgelegten Zeugnisse oder gemachten Angaben wesentlich schwerer auf Rich- tigkeit überprüfen kann. Von China ist be- kannt, dass von staatlicher Seite verstärkt Wirtschaftsspionage betrieben und dazu auch Einfluss auf Landsleute im Ausland genommen wird, um an Informationen zu kommen. Daher sollte man bei Bewerbern

an Informationen zu kommen. Daher sollte man bei Bewerbern aus China eine entsprechende Vorsicht walten und

aus China eine entsprechende Vorsicht walten und einen Background-Check durch Sicherheitsspezialisten durchführen lassen. Sie können klären, ob die vorgelegten Zeugnisse echt sind, die Angaben zu Be- schäftigungszeiten oder Qualifikationen stimmen oder Beziehungen zu staatlichen Stellen bekannt sind.

Raten Sie von einer Freundschaft mit einem chinesischen Mitarbeiter ab? Schaaf: Nein, natürlich nicht. Aber jeder Mitarbeiter sollte in Bezug auf Informatio- nen über seine Arbeit zurückhaltend sein, auch gegenüber Kollegen, die nicht direkt in dem Bereich arbeiten. Unternehmen sollten bei den Mitarbeitern ein Bewusst-

sein schaffen, dass „Flurtratsch“ scha- den kann und sensible Informationen nicht unnötig an Kollegen weitergege- ben werden sollten.

Haben Sie weitere Vorschläge bezüglich der Gefahr des Informationsabflusses nach China oder für die Kooperation mit chinesischen Unternehmen? Schaaf: Im Vorfeld von Joint Ventures mit chinesischen Firmen sollte auf jeden Fall ein Background-Check durch Sicher- heitsspezialisten zum Unternehmen und den handelnden Personen durchgeführt werden. Es sollte genau abgewogen werden, wie viele Informationen tat- sächlich an den Geschäftspartner trans- feriert werden müssen. Außerdem sollte das Unternehmen durch entsprechende Vorsichtsmaßnahmen die IT- und Te- lekommunikationssicherheit gewähr- leisten. Dazu zählen beispielsweise spezielle Reise-Laptops, die nur eine Minimalkonfiguration aufweisen und auf denen möglichst keine vertraulichen Dokumente gespeichert sind, sowie Möglichkeiten für eine verschlüsselte Kommunikation.

Was raten Sie, wenn man Opfer eines Angriffs aus China wird? Schaaf: Alle Vorfälle und Verdachtsmo- mente sollten auf jeden Fall umfassend aufgeklärt werden. Häufig gehen auch fremde Nachrichtendienste über die Schwachstelle Mensch und haben ei- nen internen Mitarbeiter „angezapft“. Bei konkreten Hinweisen oder Verdacht auf einen nachrichtendienstlichen An- griff aus China sollte auf jeden Fall auch Kontakt mit einem Landesamt oder dem Bundesamt für Verfassungsschutz aufge- nommen werden.

ProFirma 11 2010

29

Foto: ASW Berlin

Unternehmensführung – Titelthema

Foto: ASW Berlin Unternehmensführung – Titelthema „Während Konzerne ganze Sicher- heitsabteilungen haben, zeigen

„Während Konzerne ganze Sicher- heitsabteilungen haben, zeigen viele Mittelständler eine offene Flanke.“

DR. BERTHOLD STOPPELKAMP, ASW BERLIN

Kunden abzugeben. Dies fiel erst sechs Wochen nach seinem Weggang auf. „70 Prozent der Täter sitzen ,hinter’ der Firewall und haben oft Vollzugriff auf alle sensiblen Daten“, so Schaaf. Alle einschlä- gigen Untersuchungen zeigen, dass die größte Gefahr von den eigenen Mitarbeitern und den im Unternehmen tätigen Fremdfirmen ausgeht. Besonders aufzupassen gilt es bei kurzzeitig beschäftigten Ar- beitskräften wie Praktikanten oder Angestellten von Fremd- firmen, etwa Reinigungsfirmen. Ein Zettel mit dem Passwort auf dem Monitor oder firmenwichtige Dokumente im Papier- korb können für neugierige Konkurrenten von größtem In- teresse sein. Für Angehörige der Putzkolonne, die nach Feier- abend die Geschäftsräume reinigen, ist es auch kein Problem, unbemerkt einen sogenannten Keylogger an jedem beliebigen Rechner zu montieren, ein Gerät etwa so groß wie ein USB- Stick. „Dieser Keylogger wird zwischen Tastatur und Tastatur- anschluss am PC gesteckt und greift alle Tastaturanschläge ab, bevor diese im PC verarbeitet werden“, so Volker Schnapp. „Natürlich können auf diese Weise auch Passwörter aller Art mitgelesen werden.“ Key-Logger werden meist im Sekretariat des Chefs installiert – hier sind häufig die Passwörter des Vor- stands parat und werden auch die wichtigsten Geschäftsbriefe geschrieben. „Ein kompletter Schutz aller Informationen eines Unterneh- mens ist nicht möglich und häufig auch nicht opportun“, er- klärt Dr. Giselher Dombach, Vorstand der GED Com AG in Braunschweig. Häufig seien nur fünf Prozent aller Informatio-

30

nen essentiell für das Unternehmen, aber diese Geschäftsge- heimnisse müssten definiert und entsprechend geschützt wer- den. Für den wirksamen Informationsschutz im Unternehmen braucht es dann ein ganzheitliches Sicherheitskonzept: „Aus diesem Konzept können konkrete Handlungsanweisungen, Richtlinien und Verbote für den einzelnen Mitarbeiter ab- geleitet werden. Diese sollten firmenweit bekannt gemacht werden und verbindlich sein“, erklärt Corporate-Trust-Ge- schäftsführer Schaaf. Eine Richtlinie schafft allerdings noch keine Sicherheit. Meist führt weder Zwang zum Ziel noch das Vertrauen darauf, dass Mitarbeiter die Anweisungen von al- lein befolgen. Mehr Erfolg verspricht es, gemeinsam mit der Geschäfts- führung eine sogenannte Security-Awareness-Kampagne zu organisieren. Hier gilt es, die Mitarbeiter im Rahmen der Kampagne für das Thema Wirtschaftsspionage und Informa- tionsdiebstahl zu interessieren, sowie um Verständnis für nö- tige Schutz- und Präventionsmaßnahmen und die Einhaltung der Regeln zu werben. „Wenn wir ein gutes Know-how haben, müssen wir es auch gemeinsam schützen“, betont Wolfgang Rieder, Geschäftsführer in Kolbermoor. Laut der Sicherheitsberatung Corporate Trust werden nur bei knapp 40 Prozent der Firmen Geheimhaltungsstufen klassifi- ziert. Zu dieser vorbildlichen Minderheit mit klaren Vorgaben zum Umgang mit Informationen zählt die Andreas Stihl AG & Co. KG in Waiblingen: „Alle Dokumente bei uns sind in vier Sicherheitsstufen eingeteilt: Öffentlich, offen für dienstlichen Gebrauch, vertraulich, streng vertraulich“, erläutert Andreas Steiner, Abteilungsreferent IT-Sicherheit der Stihl-Gruppe. Die Geschäftsführung muss die richtigen Signale senden: Je- der muss das Gefühl haben, dass Informationsschutz einen sehr hohen Stellenwert besitzt und „Chefsache“ ist. Mit dem Betriebsrat sollte der Firmenchef besprechen, wie sich ohne übermäßige Leistungs- und Verhaltenskontrol- le die Erfolge der Mitarbeiter überprüfen lassen. Der erste Awareness-Schritt könnte beispielsweise mit einer einfach zu installierenden Schutzmaßnahme verknüpft werden – etwa ein nur durch ein Passwort zu deaktivierender Bildschirm- schoner. Dabei werden die Nutzer nun darüber aufgeklärt, welche Gefahren beim unbefugten Zugriff auf den Rechner bestehen und welche Sicherheit ihre Daten durch den neuen Bildschirmschoner erlangen.

Richtlinien für Firmenbesucher

Schnell und unkompliziert einzuführen sind Richtlinien bei Werksbesuchen: „Bei uns gibt es klare Regelungen, was foto- grafiert werden darf“, so Wolfgang Rieder. Und bei Stihl müs- sen Besucher beispielsweise Kamerahandy und Videogeräte an der Pforte abgeben und dürfen nur in Begleitung durch das Werksgelände gehen. Wichtig sind auch Regelungen für den Zutritt zu Firmenbereichen wie die Forschungs- und Entwick- lungsabteilung: „Der Zugang zu den sicherheitsrelevanten Bereichen wird bei uns durch einen elektronischen Firmen- ausweis gesichert“, so Andreas Steiner, Abteilungsreferent IT-

ProFirma 11 2010

Sicherheit der Stihl-Gruppe. „Jährlich wird bei uns abgefragt, welche Mitarbeiter einen Zugang in das Entwicklungszentrum für ihre Arbeit benötigen. Die berechtigten Personen werden in einer Liste geführt.“ Weitere Lücken werden beispielswei- se mit einem IT-Zugriffskonzept und Passwort-Richtlinien geschlossen. „Unsere Mitarbeiter sind aufgefordert, den Bild- schirm zu sperren, sobald sie das Büro verlassen“, so Andre- as Steiner. „Und natürlich dürfen keine Kennwörter an den Bildschirmen sichtbar angebracht sein.“ Neben klaren Anwei- sungen für den E-Mail-Verkehr muss es auch eine Regelung geben, was das Entsorgen von Hardware und das Löschen von Datenträgern betrifft. „Jeder neue Mitarbeiter bekommt bei uns eine eintägige Schulung ,EDV bei Stihl‘“, erläutert An- dreas Steiner. „Hier wird auch das Thema Sicherheit beim Da- tentransfer behandelt und auf unsere Richtlinie hingewiesen.“ Benötigt ein Mitarbeiter ein Notebook, so wird er in einer ge- sonderten Schulung auf Sicherheit trainiert. Um Verstöße gegen die Schutzvorschriften aufzudecken, muss die Einhaltung regelmäßig kontrolliert werden. Dabei hilft beispielsweise die „rote Karte“: Ein regelmäßiger abend- licher Rundgang des Sicherheitschefs – am besten zusammen mit dem Betriebsrat – durch die Büros bewirkt oft Wunder, um das Sicherheitsbewusstsein zu steigern. Entdecken sie

ProFirma 11 2010

einen Verstoß, wenn etwa geheime Dokumente offen he- rumliegen, hinterlassen sie am Arbeitsplatz des betreffenden Mitarbeiters eine „rote Karte“ und zwar mit der Bitte um Rücksprache. Dieses Gespräch findet nicht mit dem direkten Vorgesetzten, sondern noch eine Ebene darüber statt. Außer- dem werden die sicherheitsrelevanten Unterlagen eingesam- melt und weggeschlossen. „Geht man in allen Abteilungen so vor, wird man feststellen, wie sich das Sicherheitsbewusstsein der Mitarbeiter deutlich erhöht“, so Michael Sobbek, ehemals Sicherheitschef der Dresdner Bank und jetziger geschäftsfüh- render Gesellschafter von Janus Consulting. Werden Fälle von Industrie- und Wirtschaftsspionage aufge- deckt, melden Unternehmen die Angriffe häufig den Sicher- heitsbehörden nicht, weil sie einen Imageverlust befürchten und an der Wahrung ihres Rufs sowie Schadensbegrenzung interessiert sind. Ein fataler Fehler: Geraten sensible Infor- mationen in die falschen Hände, ist es häufig zu spät, einen Verlust von Marktanteilen oder im Extremfall die Insolvenz des Unternehmens zu vermeiden. Daher empfiehlt Dr. Stop- pelkamp: „Wir raten jedem Mittelständler, sich bei Verdachts- momenten von Spionageangriffen an den ASW und die Si- cherheitsverbände oder die Verfassungsschutzämter und die Polizei zu wenden.“

die Verfassungsschutzämter und die Polizei zu wenden.“ Der zuverlässigste Weg beim Versand internationaler

Der zuverlässigste Weg beim Versand internationaler

Geschäfts-

korrespondenz.

Für den weltweiten Versand von Tageskorres- pondenz, Rechnungen, Offerten und Kontoauszügen gibt’s bei Swiss Post ein sicheres und zuverlässiges Angebot:

Business Mail International. Damit erreichen Ihre Sendungen die richtigen Empfänger zu attraktiven Konditionen. Wünschen Sie eine persönliche Beratung? Gratisnummer 0800 18 17 000 oder www.swisspost.de

attraktiven Konditionen. Wünschen Sie eine persönliche Beratung? Gratisnummer 0800 18 17 000 oder www.swisspost.de 31

31