Wirtschaftsspionage: “90 Prozent aller Fälle im Mittelstand”

silicon.de: Man hört, liest oder sieht im TV immer mal wieder was über Wirtschaftsspionage oder Datendiebstahl. Ist da was dran? Ist das, was ich so als Otto Normalverbraucher erfahre gar nur die Spitze des Eisbergs? Gibt es Zahlen oder Statistiken?

George: Sie unterscheiden völlig zu Recht zwischen Datenskandalen, Diebstahl von Informationen und Industriespionage auf der einen und Wirtschaftsspionage auf der anderen Seite. Wirtschaftsspionage geschieht durch Nachrichtendienste anderer Länder, und wird durch den Verfassungsschutz aufgeklärt. Bei den übrigen Sachverhalten ist die Polizei der richtige Ansprechpartner. Da Unternehmen diese Unterscheidung gerade am Anfang eines Falles kaum treffen können, sind Sie mit dem Verfassungsschutz “gut beraten”. Im Zweifel stellen wir auch den Kontakt zur zuständigen Stelle her. Genau diese Unterscheidung ist es auch, die eine Aussage zu Zahlen und Statistiken so schwer macht. Im Einzelfall kann der Schaden gleich mehrere Millionen Euro hoch sein. Meistens ist aber zum Zeitpunkt des Ereignisses der Schaden in der Zukunft nur schwer zu bemessen. Und, wie beurteilt man den Fall einer Firma, die durch einen ausländischen Investor gekauft werden konnte, weil im Vorfeld geheime strategische Informationen abgeflossen sind? Wenn Sie dazu noch den Umstand addieren, dass in den wenigsten Fällen ein Informationsabfluss überhaupt bemerkt wird, erahnen Sie welche Dimension der Eisberg hat.

Mata Hari, bürgerlich Margaretha Geertruida Zelle, inoffiziell: H21, gilt als berühmteste Spionin aller Zeiten. So glamourös geht es aber in der Realität nicht zu. Übergriffe ereignen sich in aller Stille und gelangen, wenn sie überhaupt bemerkt werden, so gut wie nie in die Öffentlichkeit.

silicon.de: Beschränken sich Angreifer auf bestimmte Branchen oder Unternehmen einer bestimmten Größenordnung?

George: Auch hier muss ich Sie leider enttäuschen. Viele Verantwortliche denken, dass Wirtschaftsspionage kein Thema für den Mittelstand ist. Leider ist das Gegenteil der Fall. In über 90 Prozent der Fälle sind es kleine oder mittelständische Unternehmen, die Opfer von Wirtschaftsspionage werden. Denn: Angreifer wählen meistens den Weg des geringsten Widerstandes. Warum sich an der Firewall eines Konzernes die Nase blutig schlagen, wenn das gleiche Know-how bei Zulieferern oder externen Dienstleistern leicht zu beschaffen ist?
Konzerne verfügen über andere Mittel und Möglichkeiten – sowohl in personeller als auch finanzieller Hinsicht – um sich dem Thema “Schutz vor Know-how-Verlust” besser widmen zu können.

silicon.de: Wenn man Spionage hört, denkt man unwillkürlich an Agenten wie James Bond…

George: (lacht), dieses Berufsbild hatte ich auch mal im Kopf… (lacht wieder)
… die meisten Menschen denken, Spione könne man am Äußeren erkennen. Aber gerade die Masse bietet doch bekanntlich den größten Schutz. Und glauben Sie mir: die sensibleren Informationen finden Sie knöcheltief in der Mülltonne eines Unternehmens als mit einem Wodka-Martini in der Hand auf einer luxuriösen Yacht.

silicon.de: Schade, das hätte dem Ganzen doch noch so etwas wie Glanz verliehen. Aber sind es denn eher Nationen (wie USA oder China) oder eher Konkurrenten, die versuchen, unrechtmäßig an das Wissen eines Mittelständlers heranzukommen?

George: Was Nachrichtendienste angeht, so sagt man, Spionage sei das zweitälteste Gewerbe der Welt, aber mit öffentlichen Aussagen zu Aufgabenbereichen und Aktivitäten der jeweiligen Dienste halten sich Staaten naturgemäß bedeckt. Einige Länder wie beispielsweise Russland betonen aber die Rolle der Geheimdienste nicht nur öffentlich, sondern schreiben gewisse Zuständigkeiten für jedermann nachlesbar ins Gesetz. So legt Russland in Art. 5 zum Gesetz der Russischen Föderation, die Förderung der wirtschaftlichen Entwicklung auch in die Hände der Organe der Auslandsaufklärung, also dem Nachrichtendienst.
Aber Dinge ändern sich. Mit ein wenig krimineller Energie und etwas Internetrecherche bekommen heute auch Privatpersonen fast alles, was das Spionageherz begehrt. Dies geht bis hin zum Abhören von Telefonen. Maßnahmen also, die noch bis vor wenigen Jahren staatlichen Stellen vorbehalten waren.
Die Unterscheidung, wer Urheber der Ausspähungsaktivitäten ist, wird dadurch auch für uns immer schwieriger.

silicon.de: Ist der ‘Feind’ eher innerhalb oder außerhalb des Unternehmens zu suchen?

George: Sowohl als auch: prinzipiell benötigen Sie immer einen Wissensträger, um an Informationen zu gelangen. Dies kann ein Mitarbeiter, eine Computerfestplatte oder ein Blatt Papier mit vertraulichem Inhalt sein. Oder denken Sie an das Flipchart aus der letzten Besprechung. Dementsprechend unterschiedlich sind Angriffsszenarien, aber auch Maßnahmen zum Schutz von Interna: Loyalität, Mitarbeiter-Awareness, IT-Sicherheit, die Auswahl externer Dienstleister und organisatorische Regelungen müssen ganzheitlich ineinander greifen.

silicon.de: Das hört sich ganz schön aufwendig an. Ich habe von Erfindern gehört, die ihre Ideen nur noch zu Papier bringen und nicht in einen Rechner geben, weil sie Angst davor haben, dass die Idee gestohlen wird. Das kann aber auch nicht immer die Lösung sein?

George: Nein sicher nicht. Das wäre ein wenig wie Selbstmord aus Angst vor dem Tod (lacht). Aber es ist auch ein sehr gutes Beispiel. Der Erfinder speichert die Sachen ja deshalb nicht auf seinem Computer, weil er glaubt, seine Erfindung sei dort nicht sicher und könnte gestohlen werden. Er misstraut also der Sicherheit des Computers, was vom Prinzip her auch richtig ist, denn eine hundertprozentige Sicherheit kann auf Computersystemen nahezu nicht erreicht werden. Gerade in Hinblick auf Schnittstellenvielfalt und Vernetzung. Zwei Möglichkeiten bleiben dem Erfinder also: Keine ihm wichtigen Informationen auf dem System zu speichern oder – und das ist das Entscheidende – seine sensiblen Daten zusätzlich, zum Beispiel durch Verschlüsselung zu schützen. Das Schlagwort lautet: Informationsbezogene Sicherheit. Genau das ist auch unsere Empfehlung: Identifizieren Sie die Top-Betriebsgeheimnisse – dies sind in aller Regel nicht mehr als fünf Prozent Ihrer Unternehmensdaten und schützen Sie diese ganz gezielt. Natürlich sollten Sie herkömmliche Sicherheitsstandards wie Firewall, Antivirenschutz und so weiter nicht vernachlässigen – aber im Zeitalter immer größerer Risiken im IT-Bereich reicht herkömmliche Perimeter-Sicherheit nicht mehr aus. Im Übrigen bezieht sich diese Strategie zum Know-how-Schutz nicht nur auf IT-Systeme, sondern gilt umfassend im ganzen Unternehmen. Selbst wenn der Erfinder also seine Idee nur auf Papier “speichert”, sollte er dieses vor unbefugten Zugriff anders schützen, als andere Unterlagen. Neben diesen Maßnahmen der IT-Sicherheit und den organisatorischen Dingen ist mir aber noch ganz wichtig auf einen weiteren Punkt hinzuweisen, ohne den der ganzheitlicher Know-how-Schutz wirkungslos bleibt. Der Faktor Mensch. Nur ein loyaler und gut geschulter Mitarbeiter trägt zur Gesamtsicherheit im Unternehmen bei. Gerade deshalb müssen awareness- und loyalitätsbildende Maßnahmen integrativer Bestandteil jedes Sicherheitskonzeptes sein.

silicon.de: In wie weit kann denn der Verfassungsschutz den Unternehmen bei diesem Problemen helfen. Oder sind die Unternehmen hier ganz alleine in der Verantwortung?

George: Die Verantwortung liegt natürlich bei den Unternehmen aber wir unterstützen die Wirtschaft in zweierlei Hinsicht: Zum einen können wir als einzige Behörde auf Wunsch Vertraulichkeit im Umgang mit Verdachtsfällen zusichern, zum anderen bietet der Verfassungsschutz zahlreiche Informationen rund um das Thema Informationssicherheit mit Beispielen, Onlinetests, Handlungsempfehlungen und Sicherheitspartnerschaften an.
Unter wirtschaftsschutz.bayern.de können Sie auch unser virtuelles Unternehmen besuchen, das Ihnen einen Einblick in Gefährdungen und Lösungen zu Themen der Wirtschaftsspionage ermöglicht. Dort können Sie auch in einer Onlinebibliothek Broschüren und Publikationen kostenfrei herunterladen.
Oder Sie rufen mich einfach an. Meine Nummer ist nicht geheim…

silicon.de: Herr George, wir danken Ihnen für das Gespräch.