Wirtschaftskriminalität Mata Hari lebt

Wirtschaftsspionage via Internet bedroht Unternehmen immer stärker. Michael George, Experte für Wirtschaftsschutz beim Bayerischen Landesamt für Verfassungsschutz, sagt im Gespräch mit dem manager magazin, wie Firmen in den Zeiten totaler Transparenz im Web ihre Geschäftsgeheimnisse wahren.
Angreifer aus dem Internet: Zunehmend werden Soziale Netzwerke genutzt, um Zugänge zu relevanten Unternehmensdaten zu knacken

Angreifer aus dem Internet: Zunehmend werden Soziale Netzwerke genutzt, um Zugänge zu relevanten Unternehmensdaten zu knacken

Foto: dapd

mm: Der Verfassungsschutz kümmert sich gewöhnlich um Extremisten oder Terroristen. Ihr Referat Wirtschaftsschutz bietet aber auch Unternehmen Beratung in Sachen Schutz vor Wirtschaftsspionage. Warum?

George: Zu den Aufgaben des Verfassungsschutzes zählt auch die Spionageabwehr. Wirtschaftsschutz ist ein Teil davon. Seit dem Ende des Kalten Krieges ist Spionage eher vielfältiger denn weniger geworden. Und es gibt Staaten, die nicht nur an militärischen oder politischen Geheimnissen interessiert sind, sondern auch an Unternehmens-Know-how. Schließlich beruht die Leistungsfähigkeit der deutschen Wirtschaft zum größten Teil auf ihrer Innovationskraft - also ihrem geistigen Eigentum. Wir wollen den Firmen helfen ihre Geschäftsgeheimnisse zu wahren. Präventive Spionageabwehr also.

mm: Kümmern sich nicht die Unternehmen selbst darum, ihr wettbewerbsrelevantes Wissen zu schützen?

George: Leider nicht genug. Gerade in den Zeiten wachsender Cyberkriminalität agieren Firmen oft nach dem Sankt-Florian-Prinzip: So etwas passiert immer nur den anderen. Dabei bemerken viele Unternehmen nicht einmal, dass ihnen wertvolle Daten entwendet wurden. Beim elektronischen Diebstahl sind die Informationen ja nicht weg, sondern eben einfach auch woanders - etwa beim ausländischen Konkurrenten oder beim Geheimdienst eines anderen Staates.

mm: Fast alle Unternehmen unterhalten Firewalls und andere Schutzmechanismen, um ihre Informationstechnik vor Angriffen zu schützen. Nimmt da der Verfassungsschutz nicht den IT-Sicherheitsfirmen das Geschäft weg?

George: Im Gegenteil. Durch unsere Awarenessmaßnahmen wenden sich Unternehmen vermehrt an Sicherheitsdienstleister. Wir geben sozusagen Hilfe zur Selbsthilfe. Unser größter Mehrwert für Unternehmen ist allerdings, dass wir Erfahrungen aus der Spionageabwehr, sozusagen aus erster Hand weitergeben können und im Falle eines Falles garantierte Vertraulichkeit zusichern.

"Facebook ist eine wahre Fundgrube für Angreifer"

mm: Wo liegen die großen Schwachstellen in den Unternehmen?

George: Meistens in der Chefetage. Viele Geschäftsführer sehen die Gefahr für ihr Unternehmen überhaupt nicht. Und wenn sie durch Berichte über Hacker-Angriffe aufgeschreckt sind, gehen sie das Thema falsch an - etwa indem sie es nur an die IT-Abteilung delegieren. Dabei muss die Firmenleitung erst einmal definieren, welche Informationen überhaupt geschützt werden sollen. Und dann müssen alle Mitarbeiter informiert werden, welche Themen als Geheimnisse behandelt werden sollen.

mm: Eine Definition macht die sensiblen Daten doch nicht sicher.

George: Aber aus der Klassifizierung der Daten lassen sich verhältnismäßig einfach passende Maßnahmen ableiten. Wir haben dafür eine Sicherheitsampel: rot sind darauf die wirklich kritischen Daten, deren Verlust oder Diebstahl die Existenz des Unternehmens gefährden. Sie müssen mit allen Mitteln geschützt werden - nicht nur in der IT sondern auch gegen Gefahren aus der realen Welt. Gelb sind Informationen, deren Verlust unangenehm aber nicht lebensbedrohend für das Unternehmen ist. Hier genügt ein Schutz durch die üblichen Maßnahmen der IT-Sicherheit - Passwörter, Firewalls und Virenschutz. Im grünen Bereich finden sich all die Informationen, die die Öffentlichkeit wissen darf, ja sogar wissen soll. Über sie dürfen Mitarbeiter reden - etwa auch in sozialen Netzwerken. Schließlich ist ein Kommentar über das gute Arbeitsklima auf Facebook die beste Werbung für potenzielle neue Mitarbeiter.

mm: Stellen nicht gerade Facebook, Twitter und Co eine große Gefahr für die Datensicherheit dar?

George: Nicht unbedingt, obwohl die Probleme auf der Hand liegen wenn beispielsweise Mitarbeiter Themen publizieren, die eigentlich nicht für die Öffentlichkeit bestimmt sind oder imageschädigenden Charakter haben. Deshalb verbieten einige Unternehmen wie Porsche  ihren Angestellten die Nutzung von Facebook, Xing  usw. im Büro. Aber das ist eine kurzsichtige Politik. Die neuen Medien werden bald Standard bei der Kommunikation sein - so wie heute E-Mail.

mm: Die Firmen können ihren Mitarbeitern ja auch nicht verbieten privat auf Facebook zu posten oder zu twittern. Wie können denn Unternehmen mit den Gefahren der sozialen Medien umgehen?

George: Sie sollten eine Social Media Policy formulieren, in der auch eine Art Sicherheitsampel enthalten ist. Wenn die Leute wissen, welche Informationen nicht nach außen dringen dürfen, dann ist die Gefahr des Geheimnisverrats schon mal stark eingedämmt. Denn die wenigsten Mitarbeiter wollen ja ihrem Unternehmen schaden. Etwas anderes dagegen ist der unvorsichtige Umgang mit persönlichen Daten in sozialen Netzwerken.

mm: Wie kann denn das Preisgeben von persönlichen Informationen zum Sicherheitsrisiko für Unternehmen werden?

George: Angreifer aus dem Internet nutzen zunehmend soziale Medien, um sich Zugang zu den wirklich relevanten Daten eines Unternehmens zu verschaffen. Gerade Facebook ist für sie eine wahre Fundgrube. Sie geben sich zum Beispiel mit Hilfe einer gefälschten Facebook-Präsenz als Kollege aus und lassen sich wichtige Informationen schicken, weil angeblich ihr Notebook gestohlen wurde. Oder Sie erraten aus den vielen geposteten Hochzeitsfotos samt Datum der Feier und Name der frischgebackenen Gattin das Passwort für die Geheimakten. Oder man verschafft sich über die Kinder eines Vorstandsmitgliedes Familieninterna, die eine Büroangestellte bei einem fingierten Telefonat überzeugen, dass man wirklich der beste Freund der Familie ist.

"Spione gehen immer den Weg des geringsten Widerstandes"

mm: Wie sollen sich Unternehmen denn gegen solch kriminelle Energie wehren?

George: So wie bei allen anderen Formen der Kriminalität auch - mit Vorsicht. Etwa indem sie das Bewusstsein der Mitarbeiter für solche Angriffsformen schärfen, die in der Fachsprache Social Engineering heißen.

mm: Lässt sich das auch auf Deutsch ausdrücken?

George: Selbstverständlich: Social Engineering ist der Versuch durch zwischenmenschliche Beeinflussung an Informationen oder Dinge zu gelangen, für die ich eigentlich nicht berechtigt bin. Eigentlich ganz klassische Spionage wenn Sie so wollen.

mm: Wie meinen Sie das?

George: Ganz einfach: Mata Hari lebt. Ob in der virtuellen oder in der realen Welt - die "Agenten" agieren überall. Ob sich auf der Messe ein Techniker besonders intensiv für die Spezifikationen eines neuen Produktes interessiert oder eine ausländische Praktikantin bis tief in die Nacht Überstunden schiebt. Sie könnten auch vom Konkurrenten beauftragt sein.

mm: Sind Sie jetzt nicht ein bisschen zu paranoid?

George: (lacht) ... das ist bei mir Berufskrankheit. Aber wer wertvolle Daten schützen will, sollte besser alle Gefahren durchdenken. Besonders wenn er im Ausland Geschäfte macht. Denn dort herrschen oft ganz andere Vorstellungen von dem, was bei der Informationsbeschaffung erlaubt ist. In manchen Ländern werden Hotelsafes ganz selbstverständlich geöffnet. Und das nette Angebot die Zentrale in Deutschland über die billigere Festnetzleitung des Geschäftspartners anzurufen, sollte nur annehmen, wer übers Wetter sprechen will. Vertraulichkeit ist hier auf jeden Fall nicht gewährleistet.

mm: Zu verstehen sind die Manager ja schon, die bei so vielen Gefahren ein Gefühl von Machtlosigkeit beschleicht und die deshalb lieber auf den heiligen Florian vertrauen.

George: Der Witz ist, dass sie das sogar können. Aber erst dann, wenn Sie sich in diesem Thema besser aufstellen als ihr Mitbewerber. Denn auch Spione gehen immer den Weg des geringsten Widerstandes. Bevor sie sich also aufs Beten verlegen sollten sich Führungskräfte lieber mit uns vom Verfassungsschutz zusammensetzen. Und das Beste: unser professioneller Rat ist als staatliche Leistung für Unternehmen kostenfrei.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.