Achtung, Feind hört mit

Wie Unternehmen ausgespäht werden

03.11.2008 von Karsten Stumm
Eine Spionagewelle rollt über Deutschland, vom Dax-Konzern bis zur Minifirma. Michael Hange, Vizepräsident des Bundesamts für Informationssicherheit, sagt im Interview, wie wichtige Firmeninformationen ausgespäht werden, warum die IT zum Angriffswerkzeug der Spione geworden ist und wie arglos deutsche Unternehmen sind.

Herr Hange, viele deutsche Unternehmen gelten als technisch führend. Kann man deshalb sagen, dass sie auch führend darin sind, von Wettbewerbern und Geheimdiensten ausgespäht zu werden?

Nach allgemeiner Erkenntnislage der deutschen Sicherheitsbehörden gilt die Faustformel: Je größer das Know-how eines Unternehmens ist, desto interessanter ist es auch für Wettbewerber oder ausländische Geheimdienste.

Sind wir wirklich schon so weit? Das hieße ja, dass quasi jedes Unternehmen mit eigenen Forschungs- und Entwicklungsabteilungen grundsätzlich gefährdet ist, ausgespäht zu werden.

Das ist wahr. Entwicklungspläne, Produktskizzen und Vertriebsinformationen, die man sich bei der Konkurrenz beschafft, ersparen einen hohen zeitlichen und finanziellen Aufwand. Meine Empfehlung an Unternehmen, die im Bereich "Technik made in Germany" tätig sind, ist daher, besonders qualifizierte Schutzmaßnahmen zu ergreifen, um ihr Wissen vor unbefugtem Zugriff zu schützen.

Die internationalen Konkurrenten nehmen nicht mehr nur die großen hiesigen Konzerne ins Visier, sondern auch Mittelständler, manchmal sogar kleine Firmen. Warum rollt die Spionagewelle plötzlich so breit über Deutschland?

In Deutschland gibt es eine Vielzahl mittelständischer Betriebe, die in einem bestimmten Technologiebereich führend sind und deren Unternehmensinformationen einem beträchtlichen Wert entsprechen. Dank der Informationstechnik und der zunehmenden Vernetzung agieren diese Unternehmen global.

Dieses Interview erscheint mit freundlicher Genehmigung von manager-magazin.de.
Foto: manager-magazin.de

Unglücklicherweise ist es genau diese Informationstechnik, die auch als Angriffswerkzeug zur Spionage eingesetzt wird.

Genau. Zudem liegen wertvolle Unternehmensdaten heute in der Regel digital vor, sodass man sich mit IT-gestützter Spionage beinahe unbemerkt Daten aneignen kann. Musste man früher Papierausdrucke von Konstruktionsplänen aus einem Unternehmen schmuggeln, kann man heute mit einem USB-Stick riesige Datensätze unauffällig entwenden.

Wie groß ist der Schaden, der den deutschen Unternehmen schätzungsweise pro Jahr entsteht?

Nach Einschätzung der Sicherheitsbehörden liegt das Schadenspotenzial durch Wirtschaftsspionage und Konkurrenzausspähung bei über 50 Milliarden Euro jährlich. Das Fatale an der Spionage mittels IT und Internet ist dabei, dass der Ausgespähte in der Regel nicht merkt, dass ihm Informationen entwendet wurden.

Warum schützen sich die hiesigen Firmen nicht wirkungsvoller vor dem Datenklau?

Das Bewusstsein für die Gefahr durch unerlaubten Informationsabfluss scheint in Deutschland noch nicht ausreichend ausgeprägt zu sein. Häufig wird das Risiko, Opfer von Industriespionage und Konkurrenzausspähung zu werden, unterschätzt. In einer aktuellen Studie glaubt der Großteil der Befragten zwar, dass das Risiko für Industriespionage weltweit zunimmt, aber nur ein Drittel der Befragten schließt daraus, dass auch die Gefahr für das eigene Unternehmen steigt. Diese Einschätzung ändert sich natürlich, sobald man die eigene Betroffenheit feststellt.

Verblüfft Sie die Arglosigkeit, mit der manche Unternehmer auf die Gefahr reagieren, ausgespäht zu werden?

Vielen Unternehmen und ihren Mitarbeitern ist nach wie vor nicht bewusst, wie leicht wichtige Firmeninformationen von Kriminellen oder der Konkurrenz ausspioniert werden können. Heute kann man mit geringem technischen Aufwand unbemerkt wertvolle Informationen aus Unternehmen stehlen. Ein USB-Stick oder eine einfache E-Mail reichen dafür schon aus. Wenn auf diesem Weg Produktionspläne oder ganze Vertriebsdatenbanken zur Konkurrenz gelangen, kann ein Mittelständler auch in seiner Existenz bedroht werden.

Wer schludert aus Ihrer Sicht besonders in Sicherheitsfragen?

In großen Unternehmen wird heute in der Regel erheblich mehr für die Informationssicherheit getan, beispielsweise sorgen IT-Sicherheitsverantwortliche für die Umsetzung technischer Schutzmaßnahmen. In kleinen und mittelständischen Unternehmen gibt es vielfach Nachholbedarf bei der IT-Sicherheit. Hier scheitert es noch zu oft an fehlendem fachlichen Know-how und damit auch an der Einsicht, dass es notwendig ist, in die Informationssicherheit zu investieren.

Können sich die hiesigen Unternehmen überhaupt wirkungsvoll schützen, oder ist der Kampf etwa gegen ausländische Geheimdienste von vornherein verloren - in Kenntnis derer technischen Möglichkeiten?

Das BSI bietet Behörden und Unternehmen umfangreiche Informationsmaterialen an, die Schutzmaßnahmen für Informationstechnik vor Angriffen sowie fremdem Zugriff erläutern. Umfangreiche Informationen bietet etwa der IT-Grundschutz.

Sind die Sicherheitsanforderungen eigentlich noch zu überblicken? Mehr und mehr Unternehmen statten ihre Mitarbeiter mit Laptops aus, Mobiltelefonen, PDAs oder ihre Firmenwagen mit Navigationsgeräten. Wie soll man all das schützen?

Sie haben recht, im Hinblick auf die zunehmende Mobilität müssen IT-Sicherheitsverantwortliche auch mobile Kommunikationsmedien absichern, mit denen von unterwegs auf das Unternehmensnetzwerk zugegriffen und Daten ausgetauscht werden können. Mehr noch: Um ein hohes Schutzniveau zu erreichen, muss man neben den technischen Maßnahmen immer den Mensch vor dem Computer mit einbeziehen. Die eingesetzten Schutzmaßnahmen können immer nur so gut sein, wie der Mitarbeiter, der sie umsetzt.

Doch der wird immer öfter selbst zum Ziel der Angriffe, oder?

Angreifer versuchen in der Tat menschliche Eigenschaften ausnutzen, um an Informationen zu gelangen. Das nennt man Social Engineering. Daher ist es wichtig, im Unternehmen für eine IT-Sicherheitskultur zu sorgen. Es muss jedem einzelnen Mitarbeiter bewusst sein, dass er täglich einen wichtigen Beitrag zur Informationssicherheit des Unternehmens leistet. Bewusstsein reicht dabei nicht aus, es geht um Verhalten.

Das allerdings lässt sich ja leider nicht beliebig ändern. Irgendwie arbeitet doch jeder ein wenig in seinem üblichen Trott, selbst wenn ihm Sicherheitsgefahren grundsätzlich bewusst sind. Und öffnet dann auch unbewusst Mails von Unbekannten.

Es gab bereits Fälle, in denen vermeintliche Tagungsunterlagen von Angreifern per Mail verschickt wurden und einen Trojaner im Anhang enthielten. Da Kriminelle auch bei diesen Angriffen teilweise sehr professionell vorgehen, indem sie Absender und Materialen täuschend echt aufbereiten und Social Engineering einsetzen, kann es schwierig sein, einen derartigen Angriff zu erkennen. Gesunder Menschenverstand und eine gewisse Portion Skepsis können bereits frühzeitig dabei helfen, einen potenziellen Schaden abzuwenden.

Gezielte Attacken mit technischen Mitteln, die für einen Angriff speziell auf das auserkorene Unternehmen entwickelt werden, nahmen zuletzt deutlich zu. Bieten Standardsicherheitssysteme wie Firewalls noch Schutz - oder ist die Sicherheitssoftware von der Stange von gestern?

Technischer Basisschutz wie Antivirussoftware, Firewall und aktuelle Sicherheitsupdates vom Betriebssystem sollte nach wie vor eingesetzt werden. Der technische Basisschutz ist unerlässlich, da die Angreifer die Lücken im System suchen. Neben der Technik spielt der Mensch vor dem Rechner die entscheidende Rolle. Manchmal sind Systeme durch Nachlässigkeiten angreifbar, etwa wenn ein Server zu Testzwecken online geht und danach vergessen wird, ihn wieder vom Netz zu nehmen.

Brauchen die deutschen Unternehmen mehr Schutz von der Bundesregierung, etwa schärfere Gesetze oder mehr Ermittler in diesem Bereich?

Entscheidend ist eine umfangreiche präventive Tätigkeit, um Spionageangriffe möglichst im Vorfeld zu unterbinden. Die Behörden des Verfassungsschutzes haben ihr Angebot in diesem Bereich ausgebaut und unterstützen Unternehmen bei Fragen zum Thema.

Was sollten die Unternehmen machen, um sich wirkungsvollen Schutz zuzulegen?

Die Technik kann sicherlich für einen guten Basisschutz sorgen. Ein wirkungsvoller Schutz kann aber immer nur eine Kombination aus dem Einsatz zeitgemäßer technischer Schutzmaßnahmen und dem entsprechenden Verhalten aller Mitarbeiter eines Unternehmens sein.