Für den Schutz der heimischen Wirtschaft vor Spionage und Urheberrechtsverletzungen unterhält das Land Baden-Württemberg ein vom Innen- und Wirtschaftsministerium initiiertes Sicherheitsforum. Die Task Force berät Unternehmen jeder Größe Hilfe beim Schutz vor Wirtschaftsspionage und Konkurrenzausspähung.
Nun hat das Sicherheitsforum erstmals die Ergebnisse einer Unternehmensbefragung zum Thema vorgelegt. Ziel der Umfrage war es, aktuelle Fallzahlen zur Industrie- und Wirtschaftsspionage in Baden-Württemberg zu ermitteln und zu untersuchen, welche Auswirkungen diese Ereignisse auf die betroffenen Unternehmen haben.
Von den mehr als 4.000 befragten baden-württembergischen Unternehmen gaben immerhin 239 Auskünfte über die eigene Sicherheitslage. "In Bezug auf die Branchen", so das Sicherheitsforum in seinem Bericht, "stellt diese Studie ein repräsentatives Bild der Bedrohungslage für Unternehmen in Baden-Württemberg dar".
Die dennoch relativ geringe Zahl von Rückläufen steht auch für die hohe Dunkelziffer an Vorfällen, die bislang noch von keinem Bericht erhellt werden konnte. Zu groß sind Scham und Angst vor dem Vertrauensverlust bei Geschäftspartnern und Kunden. "Aber", warnt der Bericht: "Es wäre fatal, das Problem deswegen zu leugnen".
Nach all’ den Warnungen zentraler Stellen wie Verfassungsschutz oder BSI vor reger und zunehmender Spionagetätigkeit aus Russland oder China überrascht vor allem ein Ergebnis der Umfrage: Mehr als 70 Prozent der Spione kommen aus dem eigenen Unternehmen und sind im Durchschnitt bereits zehn Jahre dort beschäftigt. Zudem sind auch externe Täter - die meisten von ihnen sprechen Deutsch, wenn auch nicht hochdeutsch - dem Unternehmen verbunden - im Schnitt bereits seit sechs Jahren.
Nur die wenigsten misstrauen den eigenen Mitarbeitern
Im Unterschied dazu schätzen die Unternehmen selber die Gefahr, von Mitarbeitern ausgespäht zu werden, als relativ gering ein: Nur neun Prozent misstrauen den eigenen Mitarbeitern, sogar nur acht externen Kräften. Fast zwei Drittel (64 Prozent) halten es sogar für "ausgeschlossen", von Unternehmensangehörigen ausspioniert zu werden. Die Gefahr durch technische Angriffe befürchten dagegen 24 Prozent der Befragten.
Das generelle Unterschätzen der Bedrohung und der Gefahr durch eigene Mitarbeiter im Speziellen gilt dem Sicherheitsforum denn auch als eins der zentralen Ergebnisse der Umfrage. Dazu kommt die Einsicht, dass Hilfe von staatlichen Stellen oder von außen nicht zu erwarten ist: "Die Unternehmen könnten (und müssten) selbst mehr tun, um ihr Know-how zu schützen", heißt es in dem Bericht.
Bedarf zu handeln, gibt es allemal: Mehr als sechs von zehn Unternehmen mussten in den vergangenen Jahren Urheberrechtsverletzungen oder den Verrat von Geschäfts- und Betriebsgeheimnissen erleben. Viele von ihnen hatten infolgedessen mit "gravierenden Umsatzeinbußen" (37 Prozent), Beeinträchtigungen von Geschäftsbeziehungen (40 Prozent) oder strategischen Vorteilen für Wettbewerber (44 Prozent) zu kämpfen.
Der dokumentierte Schaden betrug dabei zwischen 10.000 und mehr zwei Millionen Euro. Besonders betroffen sind dabei forschungsintensive Unternehmen, weil der Wert der eigenen Entwicklungen insgesamt höher anzusetzen ist als bei Unternehmen, die über nur wenig eigenes Know-how verfügen.
Die am meisten verbreitete Form der Wirtschafts- und Industriespionage ist der Verrat oder das Ausspähen von Geschäfts- und Betriebsgeheimnissen. Mehr als jedes vierte Unternehmen gibt mindestens einen solchen Fall an. Am häufigsten betroffen sind wiederum die F&E-Abteilung sowie der Bereich Produktion und Fertigung. Vergleichsweise selten ausspioniert werden die Bereiche Einkauf, Vertrieb und Marketing sowie die Personalabteilung. Überhaupt nicht betroffen sind laut Umfrage bei forschungsintensiven Unternehmen die Finanzabteilung und die Geschäftsleitung.
Die Folgen sind teils unmittelbar durch Umsatzverluste und Schäden zu beziffern, entstehen aber oft auch nur mittelbar. Zu den indirekten Auswirkungen gehören beispielsweise strategische Vorteile von Wettbewerbern durch den ungewollten Transfer wertvollen Know-hows sowie Imageverluste bei Kunden und Lieferanten.
Wege der Informationsbeschaffung
Die unerwünschte, aber dennoch legale Informationsbeschaffung findet zu einem guten Teil über öffentlich zugängliche Quellen wie Zeitungen, Radio, Fernsehen, und über das Internet statt. Im Fachjargon heißt das OSINT ("Open Source INTelligence"). Auch öffentliche Veranstaltungen, Symposien und Messen gehören dazu.
HUMINT (HUMan INTelligence) ist das Sammeln von Informationen durch das Abschöpfen menschlicher Quellen und zählt dem Bericht zufolge zu den "bedeutendsten Maßnahmen". Dieser Bereich könne sowohl konspirativ als auch "rezeptiv, das heißt offen" ausgeführt werden. Bei dieser Art der Informationsbeschaffung werde häufig auf "Quellen im Objekt", also eingeschleuste Mitarbeiter, zurück gegriffen.
Zu den technisch gestützten Informationsbeschaffungen zählen die TECHINT (TECHnical INTelligence) und die Bereiche COMPINT und DATINT. TECHINT nutzt technische Hilfsmittel, etwa zum Abhören von Gesprächen, COMPINT und DATINT (DATa INTelligence) verwenden beispielsweise Schadsoftware zum Eindringen in Firmennetze und zum Abfischen von Login-Informationen.
Entscheidend für die Prävention von Angriffen ist der Umfrage zufolge eine "möglichst hohe Entdeckungswahrscheinlichkeit" der Täter. Das Drohen mit möglichen Strafanzeigen besitzt demgegenüber "keine vergleichbare Wirkung".
Daher hält es das Sicherheitsforum für wichtig, die implementierten Kontrollmaßnahmen nicht nur effektiv zu gestalten, sondern sie allen Mitarbeitern vor allem bekannt zu machen. "Nur dann ist die Wahrscheinlichkeit der Entdeckung auch aus der Sicht potenzieller Täter erkennbar hoch. Der subjektiven Entdeckungswahrscheinlichkeit kommt daher die höchste Abschreckungswirkung zu."
Zudem sollten sich die Unternehmen darüber im Klaren sein, dass sie in der Entdeckung von Angriffen und der Gefährdung ihrer Geschäfts- und Betriebsgeheimnisse "weitgehend auf sich allein gestellt sind". Lediglich vier Prozent der Fälle werden durch Strafverfolgungsbehörden wie Polizei und Staatsanwaltschaft aufgedeckt, heißt es in der SiFo-Studie. Das Entdeckungsrisiko für Täter sinke in dem Maße, in dem die Unternehmen auf die Aufklärungsarbeit staatlicher Stellen vertrauen.
Manchmal hilft Kommissar Zufall
Die weitaus meisten Delikte kommen der Umfrage zufolge durch Hinweise von "internen (42 Prozent) und externen Tippgebern (31)" ans Licht, also in fast drei Viertel der Fälle. Nur eine untergeordnete Rolle spielen demgegenüber "unternehmensinterne Abteilungen zur Unternehmens- und IT-Sicherheit sowie für Compliance, Recht und Revision" (8 Prozent). Dies lasse vermuten, dass die vorhandenen Kontrollmechanismen eher zur Abschreckung als zur Aufdeckung beitrügen. Immerhin weitere acht Prozent der Ermittlungen beruhen auf Zufallsfunden.
Ob ein Spionagevergehen ans Licht kommt, oder nicht, hängt also vor allem von der Bereitschaft interner und externer Personen ab, dem Unternehmen einen Hinweis auf mögliche Schadensfälle zu geben. Wo es ein solches Klima jenseits von Misstrauen und Denunziation nicht gibt, schlussfolgert der Bericht, könnten "im Dunkelfeld vieler Unternehmen Wirtschaftsstraftäter weiterhin ungestört tätig sein" und müssten "kaum befürchten, entdeckt zu werden.
Die häufigste Art der Spionage ist zugleich auch die banalste: Die Hälfte der Taten wird nach Angaben der Befragten durch "Entwenden und Kopieren von Firmenunterlagen" begangen. Daneben gibt es eine "Fallgruppe", die auf Unachtsamkeit mancher Unternehmen zurückzuführen sei. Jeder vierte Fall von Verrat und Spionage geschieht unter Verwendung öffentlich zugänglicher Quellen.
"Nicht zu unterschätzen" sind in diesem Zusammenhang auch technische Sicherheitslücken. Immerhin 13 Prozent der Unternehmen berichten über erfolgreiche Angriffe auf ihr IT-System und genau so viele über Attacken auf mobile IT-Systeme. In sechs Prozent der Fälle erfolgte die Spionage durch Abhören von Kommunikationsmitteln.
Über die Motive der Spione herrscht weitgehend Übereinstimmung: Für 93 Prozent der Unternehmen ist mangelndes Werte- und Unrechtsbewusstsein Hauptursache für schändliche Taten. Vier von fünf Delinquenten konnten "finanziellen Verlockungen" nicht widerstehen. Allerdings hält der Bericht fest, dass die Spionageschäden auch auf die "noch zu unsystematische Prävention und auf mangelhafte interne Kontrollen" zurückzuführen seien. Verantwortlich ist auch eine mangelhafte Unternehmenskultur: Immerhin jede zweite Tat wird aufgrund beruflicher Enttäuschungen und Karriereknicks begangen.
Zeitgemäße Schutzmaßnahmen fehlen meist
Bei den Abwehrmaßnahmen der Unternehmen dominieren die Objekt- und IT-Sicherheit: Zugangskontrollen zum und auf dem Unternehmensgelände sowie Schutzkonzepte für IT- und Telekommunikationssysteme. Die meisten Unternehmen verfügen über einen besonders geschützten Serverbereich sowie über einen Passwortschutz auf allen Geräten.
Die Sicherheit verbessern, hilft das aber nur wenig: "Hierbei handelt es sich eigentlich um Selbstverständlichkeiten", meckert der Bericht und kritisiert, dass "zeitgemäße Maßnahmen, die Tätern höheren Hürden bieten", gerade bei forschungsintensiven Unternehmen häufig fehlen.
Für Unternehmen, die ihre eigene Sicherheitsmaßnahmen den aktuellen Möglichkeiten und Szenarien anpassen möchten, bietet das Sicherheitsforum Baden-Württemberg "Handlungsempfehlungen für Unternehmen" an, die über die Webseite des SiFo erhältlich sind.