Spionage "Die größte Gefahr ist das Personal"

Industriespionage greift in Deutschland immer stärker um sich, wie eine Untersuchung der Risikoberatung Corporate Trust zeigt. Studienleiter Christian Schaaf erläutert, wo die größten Schäden entstehen, wer sie verursacht und wie Unternehmen sich vor dem Ideenklau schützen.

mm.de: Herr Schaaf, Sie haben eine Studie über Industriespionage vorgelegt. Wie ernst ist das Problem?

Schaaf: 80 Prozent der Unternehmen glauben zwar an einen extremen weltweiten Anstieg der Industriespionage. Fragt man sie aber nach der Gefahr für das eigene Unternehmen, dann heißt es von den allermeisten: "Ach, i wo! Bei uns doch nicht!" Nur 34 Prozent gehen davon aus, das die Gefahr auch bei ihnen steigen wird.

Ich habe in den vergangenen drei Jahren sieben Unternehmen kennengelernt, fast alle Mittelständler, die im Zusammenhang mit einem Informationsleck schließlich Konkurs anmelden mussten oder kurz davor standen. Knapp gesagt: Die Gefahren sind groß, werden aber nicht ausreichend ernst genommen.

mm.de: Wovon geht die größte Gefahr aus?

Schaaf: Von den eigenen Mitarbeitern - in welcher Form auch immer. Es muss gar nicht so sein, dass ein Kollege gezielt Informationen preisgibt. Mitarbeiter sind einfach deshalb das größte Risiko, weil sie zentralen Zugriff auf Informationen haben.

mm.de: Wir hätten jetzt an den Computerspion gedacht, der sich in das Netzwerk einer Firma einhackt.

Schaaf: Diese Figur hat wahrscheinlich jeder gleich vor Augen, wenn es um Industriespionage geht. Deswegen sind hier die Sicherheitsvorkehrungen vergleichsweise gut: Die IT-Abteilungen bekommen gute Sicherheitsbudgets und kaufen eine leistungsstarke Firewall, um die Systeme zu schützen. Doch all das nützt wenig, wenn der Täter hinter der Firewall sitzt, in den eigenen Reihen. Der verkauft vielleicht eine Daten-CD an die Konkurrenz oder wird, ohne es zu merken, ausgehorcht.

Meist wird der Vertrieb ausgehorcht

mm.de: Blicken wir kurz auf die Zahlen: Wie viele Unternehmen haben schon Erfahrungen mit Werksspionage gemacht?

Schaaf: Wir haben fast 7500 Unternehmen angeschrieben und von rund 10 Prozent Antwort bekommen - eine sehr gute Quote bei einem so unangenehmen Thema. An die 20 Prozent der Unternehmen haben schon Fälle von Industriespionage nachgewiesen, zusätzlich haben 35 Prozent mindestens einmal den Verdacht gehegt, ihn aber nie beweisen können. Zusammen also mehr als die Hälfte - das hätten wir nicht erwartet.

Besonders stark betroffen ist der Maschinenbau, den wir in einer Kategorie mit Automobil-, Flugzeug- und Schiffbau zusammengefasst hatten, gefolgt von der Eisen-, Stahl- und Metallverarbeitung. Das überrascht wiederum wenig. Gerade in diesen Branchen sind deutsche Unternehmen besonders innovativ und ihr Wissen entsprechend gefragt. Außerdem sind hier die Entwicklungskosten hoch, aber eben auch die Gewinne, wenn man das Know-how abkupfert und ohne große Umstände losproduzieren kann.

mm.de: Trotzdem schreiben Sie, dass der Vertrieb häufiger von Industriespionage betroffen ist als die Entwicklungsabteilungen. Wie passt das zusammen?

Schaaf: Ich denke, dass es für die meisten Manager selbstverständlich ist, die eigene Entwicklungsabteilung zu schützen. Vertriebswissen ist aber eben auch wertvoll: Wer sind mögliche Kunden, welche Person ist dort Ansprechpartner? Welche Bedürfnisse haben Kunden und welche Voraussetzungen, auf die ein Vertriebsmitarbeiter aufbauen kann? Das ist hochinteressantes Material für Konkurrenten, gerade auch aus dem unmittelbaren regionalen Umfeld.

Übrigens müssen wir uns da von einem Vorurteil trennen, das in der öffentlichen Debatte gelegentlich mitschwingt: Es sind nicht allein ausländische Unternehmen - und da nicht bloß chinesische oder russische -, die deutsche Mitbewerber anzapfen. Gerade für eine Firma, die in der gleichen Gegend um Kunden buhlt, ist doch Vorsprung im Vertrieb entscheidend.

Naivität als größtes Risiko

mm.de: Auf welchen Wegen gelangen Informationen noch aus dem Unternehmen?

Schaaf: Den Hacker, der sich Zugang zum Firmennetzwerk verschafft, haben wir schon angesprochen. Naheliegend ist auch die Wanze, mit der Gespräche abgehört werden.

Besonders verbreitet ist das sogenannte Social Engineering. Da wird zu Mitarbeitern ein persönlicher Kontakt aufgebaut, teils über Wochen und Monate, um im persönlichen Gespräch wichtige Details aus dem Unternehmen in Erfahrung zu bringen.

Oft wird dem Ausgehorchten irgendwann klar, dass es dem Schnüffler von Anfang an nur um Informationen ging. Dann befinden sich viele in einer Art Schamfalle und melden den Vorfall nicht, weil sie fürchten, als naiv dazustehen. Andererseits kommen sie aus dieser Situation schwer wieder heraus, weil sie erpressbar sind. Das ist wie eine Spirale.

mm.de: Aber kein böser Wille der Mitarbeiter.

Schaaf: Nein, das ist Leichtsinn. Allerdings werden die Belegschaften meist nicht ausreichend für solche Gefahren sensibilisiert.

mm.de: Welche weiteren technischen Hilfsmittel sind bekannt?

Schaaf: Handys stellen in Besprechungen ein großes Risiko dar. Offiziell können die Geräte ausgeschaltet sein. Unbemerkt überträgt dann ein zweites GSM-Modul jedes gesprochene Wort nach draußen. Daneben gibt es alle Spielarten von Minisendern, die Mikrofonsignale und selbst Bilder übertragen.

mm.de: Wie kann man sich davor schützen?

Schaaf: Besprechungszimmer lassen sich abhörsicher gestalten, sodass keine Funksignale nach außen oder innen dringen. Das ist heute bei Weitem nicht mehr so teuer, wie es noch vor zehn Jahren war.

mm.de: Sie haben sich über den hohen Rücklauf bei Ihrer Umfrage gefreut, andererseits wollte nur ein Drittel der Betroffenen Angaben über die Täter machen. Welche Schlüsse ziehen Sie daraus?

Schaaf: Es ist eben unangenehm, wenn man eingestehen muss, dass das eigene Personal spioniert hat. Ich vermute, dass dort, wo Angaben fehlen, die eigene Belegschaft im Spiel ist. Hier kann man ja auch weiter unterscheiden, zwischen einfachen Angestellten auf der einen Seite und dem Management auf der anderen. Ich befürchte, dass der Anteil von Managern als Tätern erheblich ist.

Manager, die Mikrofone tragen

mm.de: Das sagen Sie aus Ihrer Erfahrung als Sicherheitsberater.

Schaaf: Ja. Ein Klassiker ist etwa das Abhören von Gesprächen des Managements. Einfache Mitarbeiter haben in den meisten Unternehmen kaum Zutritt zur Vorstandsetage. In solchen Fällen ist die undichte Stelle sehr wahrscheinlich im Vorstand selbst. Solchen Personen fällt es leicht, eine Wanze zu platzieren.

mm.de: Es kommt aber auch Reinigungs- oder Sicherheitspersonal in Betracht.

Schaaf: Selbstverständlich. In vielen Büros liegen sensible Daten - Dokumente, Ordner, USB-Sticks, CDs - offen herum. Wenn Sie einer Putzfrau 5000 Euro anbieten, ...

mm.de: ... eine Berufsgruppe, die sicher nicht überbezahlt ist ...

Schaaf: ... dann fällt es ihr schwer, das abzulehnen. Bitte, ich will das Reinigungspersonal nicht unter Generalverdacht stellen. Die Mehrzahl ist loyal, aber die Versuchung ist groß.

mm.de: Die Putzfrau soll dann den Inhalt eines Leitz-Ordners kopieren?

Schaaf: Auch das gibt es. Es geht aber auch einfacher, etwa mit Key Ghosts. Das sind elektronische Bauteile, halb so groß wie ein kleiner Finger. Ein Key Ghost kann in einem unbeobachteten Moment zwischen PC und Tastatur gesteckt werden und protokolliert alles, was in diesen Computer eingegeben wird, einschließlich aller Nutzernamen und Passwörter.

Die Gefahr für die Putzfrau entdeckt zu werden, ist gering - zehn Sekunden Angst beim Einstöpseln, zehn Sekunden beim Ausstöpseln, das war's. Der Nutzen für einen Konkurrenten ist unbezahlbar: Er kann danach beliebig in das Firmennetzwerk eindringen. Und die Aktion kostet weniger, als einen Hacker zu beauftragen. Key Ghosts sind für rund 100 Euro erhältlich, ganz legal.

Falsche Signale an die Mitarbeiter

mm.de: Wird so etwas überhaupt entdeckt?

Schaaf: Ich habe bereits mehrere solcher Fälle erlebt. In einem war die Firmenleitung bei der Ermittlung sehr kooperativ und sah ein, dass wir nur eine Chance haben, die Täter zu fassen, wenn das Gerät nicht sofort entfernt wird.

Natürlich fällt es den Verantwortlichen schwer, diesen kleinen elektronischen Spion an Ort und Stelle zu belassen. Aber so hat man zumindest die Chance zu beobachten: Wer nimmt das Gerät wieder mit? Wo bringt er es hin? In der Zwischenzeit durften nur irrelevante Arbeiten an diesem Computer erledigt werden.

mm.de: Welche Konsequenzen hat das Unternehmen aus dieser Erfahrung gezogen?

Schaaf: Die PCs standen dort in Fächern unter den Schreibtischen, das ist ja sehr verbreitet. Nach dem Vorfall wurden die Außenblenden der Schreibtische verkürzt, sodass die Computerrückseiten zu sehen sind, und jeder Mitarbeiter muss seither morgens überprüfen, ob ihm an der Verkabelung etwas verdächtig vorkommt.

mm.de: Eigentlich eine simple Maßnahme.

Schaaf: Das ist im Bereich der Wirtschaftsspionage oft so. Wenn man sich erstmal vergegenwärtigt hat, wo Sicherheitsrisiken bestehen, sind die Vorsichtsmaßnahmen in der Regel recht einfach und haben eher mit gesundem Menschenverstand zu tun als mit Hightech.

mm.de: Zum Beispiel?

Schaaf: Mich erschreckt oft die Arglosigkeit, mit der Mitarbeiter in der Bahn oder im Flugzeug Geschäftsgeheimnisse ausbreiten, sei es am Telefon oder im Gespräch mit mitreisenden Kollegen. Da werden Namen genannt, vertrauliche Zahlen - ganz so, als seien sie allein unterwegs. Sie könnten selbst darauf kommen, dass ihr Verhalten gefährlich ist. Auf diese Einsicht sollten Unternehmen aber nicht warten. Es ist wichtig, die Mitarbeiter dafür zu sensibilisieren.

Arglose Telefongespräche unterwegs

mm.de: Ein Handygespräch kann ein Mitbewerber aber doch nur eher zufällig aufschnappen.

Schaaf: Das lässt sich ganz leicht organisieren, zum Beispiel auf Messen. Die Hotelbuchungen der Unternehmen sind frühzeitig bekannt und lassen sich überraschend einfach durch eine harmlose Nachfrage beim Sekretariat in Erfahrung bringen. Ich habe das schon mehrfach Geschäftsleitungen vorgeführt, die überrascht waren, wie simpel es ist.

mm.de: Vor Ort, im Hotel, kommt dann wieder Social Engineering ins Spiel.

Schaaf: Genau. Da sitzt ein Vertriebsleiter in der Hotellobby, es ist langweilig, und er kommt mit einem Unbekannten ins Gespräch. Das Gespräch ist angenehm, da ist jemand, der sich für seine Arbeit interessiert, und er kann ein bisschen angeben. Vielleicht hat er auch ein bisschen getrunken. Das Gegenüber behauptet, in einem ganz anderen Bereich zu arbeiten und hört aufmerksam zu. In dieser Situation erzählt der Vertriebsleiter viel mehr, als er bei genauer Überlegung preisgeben würde.

Übrigens sind auch Bewerbungsgespräche Gelegenheiten zum Social Engineering. Den Bewerber von einer Konkurrenzfirma kann man aushorchen, indem man nach seinen Erfahrungen und seiner derzeitigen Tätigkeit fragt. Umgekehrt schicken Unternehmen Mitarbeiter gezielt zu Vorstellungsgesprächen, um zu erfahren, für welche Projekte der Konkurrent seine Stellenanzeigen schaltet.

mm.de: Wie reagieren die Unternehmen, wenn sich Beweise für Spionage finden?

Schaaf: Viele versuchen, erstmal allein zurechtzukommen, stoßen aber schnell an Grenzen. Dann lautet die Devise: Deckel drauf! Es ist nicht selten, dass man einen Täter entdeckt, aber sich aus Angst um den Ruf des Unternehmens in aller Stille mit ihm einigt.

Davor muss ich warnen. So was spricht sich meist im Unternehmen herum - ein fatales Signal an alle, die auch ein unmoralisches Angebot bekommen: Der nächste potenzielle Täter muss sich eingeladen fühlen, Loyalität lohnt sich offensichtlich nicht.

mm.de: In welchem Bereich sehen Sie bei den meisten Unternehmen Nachholbedarf?

Schaaf: Wenn Sie einen Wirtschaftsbereich meinen: Der Mittelstand vernachlässigt Sicherheitsthemen sehr oft. Wenn Sie mit Bereich einen Angriffsweg meinen: Das Personal. Während in IT-Sicherheit selbstverständlich viel Geld gesteckt wird, haben viele Mitarbeiter kein Gespür dafür, welche Risiken sie durch ihr Verhalten oft erst erzeugen. Dem lässt sich durch Schulung leicht entgegenwirken oder zum Beispiel durch ein Briefing für Mitarbeiter, die man auf eine Messe schickt.

Spionage-Studie: Die wichtigsten Ergebnisse

Verwandte Artikel
Die Wiedergabe wurde unterbrochen.