Wirtschaftsspionage: Schwerpunkt Sicherheit

12. Februar 2014

Dank moderner Hilfsmittel erlebt die Wirtschaftsspionage einen massiven Aufschwung. Trotz technischen Fortschritts – zum Teil sogar wegen ihm – sind Menschen der entscheidende Faktor. Das gibt Unternehmen die Möglichkeit, vorzubeugen und den Nährboden für Spionage und Sabotage auszudünnen.

Wie moderne Technik mit dem „menschlichen Faktor“ spielt

„Auch dem mißtrauischsten Beobachter hätte an dem Benehmen der Gäste kaum etwas auffallen können. Daß jeder von ihnen im Lauf der Mahlzeit einmal für kurze Zeit die Toilettenräume aufsuchte, durfte bei der Menge und Güte der dargebotenen Getränke nicht wundernehmen. Daß dabei winzige Filmrollen ihren Platz wechselten und Fotoapparate in Bleikapseln wanderten, blieb nach Lage der Sache natürlich verborgen.“

Sehr anschaulich, wie der deutsche Technikschriftsteller und Ingenieur Hans Dominik 1932 in seinem Roman „Wettflug der Nationen“ schildert, wie Spione dem Fertigungsgeheimnis eines Unternehmens auf die Spur kommen wollen: Knopflochkameras waren damals der neueste Schrei der Technik, um ungesehen Einblicke in fremde Werkstätten zu dokumentieren. Die im Bild festgehaltenen Zeugnisse des Fortschritts der Konkurrenz galten als wesentlich aussagekräftiger als das Aushorchen beim Bier in der Kneipe – einer Frühform des „social engineering“ oder das Vertauschen von Aktentaschen im Zug …

Wettlauf um den unlauteren Vorsprung

Die Methoden mögen sich geändert haben, das Verfahren allerdings lebt bis heute. Damals wie heute geht es Wirtschaftsspionen darum, die Hürden eines sauberen und ehrlichen Wettbewerbs zu umgehen und ihren Auftraggebern einen unlauteren Vorsprung zu verschaffen. Der Fortschritt der Technik hat allerdings dem Umfang, das Tempo und den angerichteten Schaden solchen Tuns vervielfacht. In jedem James Bond-Film gibt es dafür Anschauungsmaterial zuhauf und in den Zeitungsschlagzeilen der vergangenen zwölf Monate fanden sich jede Menge „ernstzunehmende Hinweise“ auf Ausspähungen in großem Stil unter dem Schutzschild von Regierungen.

Kein Wunder, dass zum Beispiel in deutschen Chemieunternehmen keine Handys mit Fotofunktion auf dem Betriebsgelände zugelassen sind und dass manche Firma ihren Reisenden keine Notebooks mit Unternehmensdaten mehr mit auf den Weg gibt oder die Nutzung von Datengeräten verwendet, bei denen die Kommunikationsströme über Rechner im Ausland laufen. Denn wenn auch die Spioniererei vor allem handfestes Datenmaterial zum Ziel hat und vielfach automatisiert auf Datenverbindungen zugreift: Es sind Menschen, die auf Knöpfe oder Schaltflächen drücken oder Speichermedien aktivieren und transportieren, um diese Daten in Bewegung zu setzen und auf Irrwege zu bringen. Spionage ist nach wie vor ein Handwerk.

Schlamper und Überzeugungstäter liefern Schlüssel zum Betriebsgeheimnis

Wo ist das Gefahrenpotential angesiedelt? Menschen außerhalb des Unternehmens machen die eine Hälfte der Gefahrenquellen aus. Die Erfahrung lehrt, dass etwa genauso viel von innen heraus zum Ausspähen von Vertraulichem beigetragen wird. Wobei es sich bei den Akteuren entweder um unzufriedene Menschen handelt – unzufrieden mit ihren Arbeitsbedingungen, ihren Karrierechancen und ihrer Entlohnung – die Geheimnisse verraten oder Dritten den Zugang zu diesen öffnen.

Rechtfertigen moralische Gründe einen Vertrauensbruch?

Oder es sind Überzeugungstäter, die sich, wie auch viele Saboteure, mitunter auch auf ethische Überlegungen und höhere Werte als die Loyalität zum Arbeitgeber berufen. Ein Lehrstück dafür sind die CDs mit Steuerdaten aus der Schweiz, deren Lieferanten gern moralische Überlegungen in Anspruch nehmen, um ihren Vertrauensbruch zu rechtfertigen. Welches echte oder vermeintliche Motiv auch immer zugrunde liegt, die Ereignisse zeigen: Wo ein Wille ist, Firmengeheimnisse öffentlich zu machen oder an die Konkurrenz durchzustechen, da ist auch ein Weg.

Doch mindestens genauso gefährlich und schädlich ist die „Einladung zur Spionage im Vorübergehen“, die unachtsame oder schlampige Mitarbeiter aussprechen. Es war an einem Montagmorgen vor einigen Jahren, da saß der Autor dieses Artikels im Frühflieger nach Köln, um ihn herum blaukompatibel gewandete Businessmenschen. Man wähnte sich unter sich und in eine Reihe weiter vorn entspann sich ein herziger Dialog ob eines Artikels in einem großen deutschen Nachrichtenmagazin, das gerade ein Riesendefizit bei einem großen Automobilhersteller enthüllt hatte. „Woher die das nur immer wissen“, wundert sich der eine Anzugträger. „Ist mir auch schleierhaft“, meint der andere. „Das Schlimmste ist, das stimmt alles“, sagt der eine. „Echt?“ wundert sich der andere. „Da schau her“, erwidert der eine, zieht einen Ordner mit Tabellen aus der Aktentasche und zeigt sie seinem Mitreisenden. Durch den Spalt zwischen den Sitzen kann der Journalist bequem mitlesen.

Beihilfe durch Schlamperei

Liegengelassene IT-Geräte (2008 ermittelten die Londoner Taxifahrer innerhalb eines halben Jahres 63.000 liegengelassene Mobiltelefone, 5.000 Laptops und 5.800 PDAs in ihren Fahrzeugen), ungeschützte Bildschirme an Messeständen, in Hotelhallen und in Tagungsräumen, versehentlich an falsche Mailadressen versandte Dokumente, lautstark geführte Telefonate in ICE-Abteilen und Airport-Lounges: Nie war es für Spione leichter, an ihr Material zu kommen als heute, wo eine große Anzahl von Verantwortungsträgern ihre Last leicht nimmt. Oft, weil sie sich der Abhör- und Mitlese-Risiken gar nicht bewusst sind, fast immer aber, weil sie auch nie einer darauf aufmerksam gemacht hat. Neue Mitarbeiter in einer Firma bekommen eher die Bedienungsanleitung für die Kantine als eine Instruktion zum Umgang mit Betriebsgeheimnissen. Der obligatorische Passus im Arbeitsvertrag wird ähnlich aufmerksam zur Kenntnis genommen wie die Sicherheitshinweise der Stewardess: „Im unwahrscheinlichen Fall eines Druckverlustes …“

Menschliche Schwächen frühzeitig erkennen

Vor diesem Hintergrund wird deutlich, dass das Verhältnis zwischen Arbeitgebern und Arbeitnehmern, dass die Beurteilung von Qualitäten eines Mitarbeiters und dass das Verhalten eines Unternehmens an sich zentrale Rollen spielen, wie spionageanfällig eine Firma und ihre Mitarbeiter sind. Das zeigt: Es geht nicht nur um technische Sicherheit. Vielmehr ergibt sich aus dieser Sachlage eine bedeutende Herausforderung für Personalverantwortliche und die HR-Abteilung, um Risiken vorzubeugen und Schaden abzuwehren.

Zumal Spionage ein weites Feld ist. So definiert sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) als „Angriffe, die das Ziel haben, Informationen über Unternehmen, Personen, Produkte oder andere Zielobjekte zu sammeln, auszuwerten und aufzubereiten.“ Die aufbereiteten Informationen ließen sich dazu nutzen, um einem anderen Unternehmen bestimmte Wettbewerbsvorteile zu verschaffen, Personen zu erpressen oder ein Produkt nachbauen zu können.

Auch der große Schwachpunkt IT lässt sich mit Disziplin schützen

Neben einer Vielzahl technisch komplexer Angriffe registriert das BSI auch viel einfachere Methoden, um an wertvolle Informationen zu kommen, „beispielsweise indem Informationen aus mehreren öffentlich zugänglichen Quellen zusammengeführt werden, die einzeln unverfänglich aussehen, aber in anderen Zusammenhängen kompromittierend sein können“. Da vertrauliche Daten häufig nicht ausreichend geschützt werden, können diese oft auf optischem, akustischem oder elektronischem Weg ausgespäht werden.

IT ist der Hauptangriffspunkt

Beispiele für die ganz alltägliche Spionage im Kommunikationszeitalter finden sich in einer Dokumentation des BSI zuhauf. Sie machen deutlich, dass die IT eines Unternehmens der größte Schwachpunkt und damit zugleich Hauptangriffspunkt für ein gezieltes Ausspähen ist:

  • Viele IT-Systeme sind durch Identifikations- und Authentisierungsmechanismen gegen eine unberechtigte Nutzung geschützt, z.B. in Form von Benutzerkennung- und Passwort-Prüfung. Wenn das Passwort allerdings unverschlüsselt über die Leitung geschickt wird, ist es einem Angreifer unter Umständen möglich, dieses auszulesen. Noch einfacher ist es, wenn ein Post-it mit den Zugangsdaten am Monitor klebt.
  • Um Zugriffsrechte auf einem PC zu erhalten oder diesen anderweitig zu manipulieren, kann ein Angreifer dem Benutzer ein Trojanisches Pferd schicken, das er als vorgeblich nützliches Programm einer E-Mail beigefügt hat. Neben unmittelbaren Schäden können über Trojanische Pferde vielfältige Informationen nicht nur über den einzelnen Rechner, sondern auch über das lokale Netz ausgespäht werden. Insbesondere verfolgen viele Trojanische Pferde das Ziel, Passwörter oder andere Zugangsdaten auszuspähen. „Geimpfte“ USB-Sticks, die mancher Finder der Neugier halber mal am Büro-PC inspiziert, gehören zu den beliebtesten Einstiegshilfen – und werden von skeptischen IT-Sicherheitsbeauftragten auch gern mal auf dem Firmengelände „verloren“, um besonders schludrige Pappenheimer zu identifizieren.
  • In zahlreichen Büros sind die Arbeitsplätze weder optisch noch akustisch gut gegeneinander abgeschirmt. Dadurch werden Kollegen, aber auch Besucher, zu Mithörern von Gesprächen oder Mitbeobachter von Bildschirmarbeit. Sie erlangen dabei Kenntnis von Informationen, die nicht für sie bestimmt oder sogar vertraulich sind. Zurückgelassene Flip-Chart-Papiere oder Tafelbeschriftungen sind ähnlich ergiebige Quellen.

Wenn also menschliche Schwächen, Fehler und Gefühle der Schlüssel für Wirtschaftsspionage sind, liegt es auf der Hand, dass Personalabteilungen gefordert sind, diese Schlüssel zu prüfen und ggf. von den Schlössern fernzuhalten. Je sensibler das Geschäft einer Firma ist, desto mehr Gespür für den jeweiligen Aggregatszustand eines Mitarbeiters ist gefragt. Edward Snowden ist so gesehen auch ein Synonym für einen Mitarbeiter, über dessen Beweggründe seine Vorgesetzten nur unzureichend im Bilde waren.

Zahl der Cyberangriffe steigt

Keine Bilanz der IT-Bedrohungslage des Jahres 2013 kommt ohne Snowdens Namen aus. Seine Enthüllungen hatten und haben enorme Auswirkungen auf die Privatsphäre der Nutzer und den Datenschutz, bilanziert zum Beispiel Kaspersky Lab, eine der führenden Organisationen in Sachen Virenschutz & Co. „Wir hatten 2012 als Jahr der Enthüllungen vorhergesehen und gesagt, dass 2013 uns die Augen öffnen würde. Beide Vorhersagen haben sich bewahrheitet“, bilanziert Costin Raiu, Director Global Research & Analysis Team bei Kaspersky Lab.
„2013 hat gezeigt, dass wir alle in einem Boot sitzen. Jede Organisation, jeder Einzelne kann Opfer eines Cyberangriffs werden. Denn jeder, der bestimmte Daten besitzt, kann ein Schritt auf dem Weg zu einem höher gesteckten Angriffsziel sein“, sagt Raiu. Zu den groß angelegten Cyberspionage-Kampagnen des Jahres 2013 zählt sein Haus die Aktionen „Roter Oktober“, „NetTraveler“, „Icefog“ und „MiniDuke“. Sie alle richteten sich gegen Daten von Regierungsorganisationen und Forschungsinstituten und hatten insgesamt weltweit mehr als 1.800 Opfer im Visier. Die mit Opfern in 40 Staaten am stärksten verbreitete Kampagne war NetTraveler. Zum ersten Mal sammelten Cyberkriminelle bei einer solchen Operation auch Informationen von mobilen Geräten.

investor relations