Wirtschaftsspionage – Der Mittelstand im Visier

3 min.

Wirtschaftsspionage ist kein Phänomen der modernen Zeit. Schon immer versuchten Mitbewerber, durch raffinierte Vorgehensweisen in den Besitz innovativer Ideen der Konkurrenz zu gelangen. Heute ist der Diebstahl sensibler Informationen zum Teil mit wesentlich geringerem Aufwand verbunden. Dies liegt vor allem am weitreichenden Einsatz unzureichend geschützter IT-Systeme und Kommunikationstechnik. Laut einer repräsentativen Bitkom-Studie berichten 51 Prozent der Unternehmen von Schäden durch Datendiebstahl, Sabotage und Wirtschaftsspionage.

100 Milliarden Euro Schäden durch Wirtschaftsspionage

Das Thema Wirtschaftsspionage ist ein seit vielen Jahren bestehendes Problem, unter dem vor allem mittelständische Unternehmen leiden. Der jährliche Schaden für die Wirtschaft wird mit ungefähr 100 Milliarden Euro beziffert. Eine Schadensumme mit großer Relevanz, die eine im April 2015 durch den Bundesverband Informationswirtschaft (Bitkom) veröffentlichte Studie bestätigte. Als Basis diente eine repräsentative Befragung von mehr als 1.000 mittelständischen Unternehmen. Das Ergebnis ist erschreckend. Alleine der Datendiebstahl ist für eine Summe von 51 Milliarden Euro verantwortlich.

Die wertvollen Informationen gelangen über mehrere Wege in die Hände des Mitbewerbs. Einer davon ist die Entwendung von IT-Komponenten und mobilen Endgeräten. Nicht weniger erfolgreich ist das Eindringen in die IT-Systeme und Kommunikations-Infrastrukturen der Unternehmen, wobei die Täter sehr gezielt verschiedene Einfallstore nutzen. Aufgegliedert nach Unternehmensbereichen entfallen 20 % aller Angriffe auf Lager und Logistik. Über den Einkauf gelangen 18 % der gestohlenen Informationen in die Hände der Wirtschaftsspione. Bei 15 % der Angreifer stand die Produktion im Mittelpunkt des Interesses. In Unternehmen mit dem Schwerpunkt Forschung und Entwicklung ab 500 Mitarbeitern zielen 30 % aller Angriffe auf den Bereich Forschung & Entwicklung ab.

Bei den genannten Zahlen ist zu berücksichtigen, dass es sich hier ausschließlich um protokollierte Eindringversuche und erfolgreiche Diebstähle handelt. Die Dunkelziffer ist wesentlich höher.

Innentäter und Social Engineering als größte Gefahr

Die größte Gefahr für den Diebstahl wichtiger Daten geht nur zu einem Teil von externen Spionen aus, die als Besucher oder Praktikanten getarnt, sensible Informationen stehlen. Dies gilt ebenfalls für Geheimdienste, die in nicht unbeträchtlichem Ausmaß Datendiebstähle begehen. Dabei gilt das Hauptinteresse jenen Unternehmen, die sich durch innovative Produkte und Produktionsideen auszeichnen. Da sich solche Firmen vor allem im mittelständischen Bereich bewegen, ist die Gefahr für diese Unternehmensgruppe im Verhältnis größer als für Kleinstunternehmen oder Konzerne. Trotz des Risikos für innovative Unternehmen, Spionageopfer durch ausländische Besucher oder Geheimdienste zu werden, muss das Hauptaugenmerk nach innen und auf das unmittelbare Unternehmensumfeld gerichtet werden.

Der Innentäter ist ein noch aktiver oder ehemaliger Mitarbeiter, der aus unterschiedlichsten Motiven heraus sensible Informationen und Daten an den Mitbewerb weiterleiten. Mit 52 Prozent der Informationsdiebstähle stellt diese Gruppe eine nicht unerhebliche Gefahr dar. Das unmittelbare Unternehmensumfeld definiert sich durch Lieferanten und Kunden, die sich mit einem Anteil von 39 Prozent aller Informationsdiebstähle an der Wirtschaftsspionage beteiligen. Eine weitere Gefahr bildet das Social Engineering mit einer Erfolgsquote von 19 Prozent.

Besonders einfallsreich agiert diesbezüglich der nationale und internationale Mitbewerb bei dieser speziellen Form der Wirtschaftsspionage. Als Marktforschungsinstitute getarnte Interviewer manipulieren die Mitarbeiter am Telefon äußerst geschickt, indem sie gezielte Fragen zu sensiblen Unternehmensbereichen stellen. Aus den Antworten sind die Wirtschaftsspione in der Lage, ein aussagekräftiges Bild zu erstellen.

Verschlüsselung und andere Sicherheitsmaßnahmen unverzichtbar

Zum Schutz der IT und der darin abgelegten Daten gibt es eine Vielzahl an Sicherheitslösungen in Form von Firewalls, Antivirenprogrammen und eine restriktive Rechtevergabe, die einer kontinuierlichen Prüfung unterzogen wird. Nicht zu vergessen die regelmäßigen Softwareupdates, die erkannte Sicherheitslücken schließen. Eine flache hierarchische Dateienstruktur ist zwar aufwendiger zu pflegen, sie reduziert jedoch das Risiko der vererbbaren Rechte und ist in der Lage, die von den Benutzern benötigten Zugriffsrechte möglichst individuell zu vergeben. Um das Unternehmen vor Social Engineering zu schützen, ist ein kontinuierliches Sicherheitsbriefing aller Mitarbeiter ein wichtiges Element des Sicherheitskonzeptes.

Vor Innentätern können sensible Informationen durch eine restriktive Rechtevergabe und der Unmöglichkeit, Daten auf Datenträger zu kopieren, geschützt werden. Um sie vor Angriffen von außen zu schützen, ist die Verschlüsselung durch Verschlüsselungsprogramme wie VeraCrypt eine zielführende Maßnahme. VeraCrypt, das 2013 die Nachfolge von TrueCrypt antrat, eignet sich für die Verschlüsselung unter Windows, Linux und Mac OS X.

Mit dem Wissen um die existierende Gefahr ist es für mittelständische Unternehmen möglich, sich vor Datendiebstahl in hohem Maß zu schützen. So ist jeder einzelne Unternehmer und IT-Verantwortliche in der Lage, den jährlichen hohen wirtschaftlichen Schaden zu reduzieren. Auch wenn Wirtschaftsspionage und Datendiebstähle nie in vollem Umfang zu verhindern sind, so ist bereits die Reduzierung durch selektive Sicherheitsmaßnahmen ein Schritt in die gewünschte Richtung.

Tipp:
Informieren Sie sich ausführlich zum Thema IT-Sicherheit und über die Verschlüsselungstechnik VeraCrypt. Detaillierte Informationen bietet das Tutorial.

__

Bild (CCO Public Domain)

__

 

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

2 Kommentare

You can post comments in this post.


  • Servus Herr Kollege Schoor, ich bin ebenfalls VSD zertifizierter Datenschutzbeauftragter und die o.g. Dinge kann ich nur bestätigen. Das Thema Praktikanten Zugang ist wirklich eine der Kernfragen der Arbeit.
    Häufig wird dieser kaum differenziert eingesetzt und ist in Windows Systemen als kopierter Mitarbeiter Zugang angelegt. Gerade im Bereich Finance und Controlling birgt das natürlich, neben der Entwicklung auch erhebliche Gefahren für die Unternehmen.
    Leider ist gerade im Bereich Personal die hierfür erforderliche Sensibilität nur bedingt vorhanden. Somit werden Organisationsstrukturen und Prozesse offengelegt, die eigentlich vertraulich bleiben sollten.
    Besonderer Schutz von Daten erfordert im hohen Maße auch ein direktes Eingreifen in die Strukturen, häufig wird das allerdings beim Ausscheiden von Praktikanten und Mitarbeitern versäumt. Hinzu kommt die Bequemlichkeit einiger Abteilungen und die damit verbundene Schatten IT. Vielfach sind es eben die hauseigenen Trojaner aus den doch so einfachen Hilfsprogrammen und Anwendungen die Probleme bringen. Insbesondere in der jetzt kommenden Urlaubszeit werden gerne mal Zugriffe gewährt oder Passwörter weitergegeben, leider mit Duldung oder gar auf Anweisung der Vorgesetzten aus den Fachabteilungen. Wohl kaum jemand ist sich des Risikos bewusst.

    Jörg Ruthmann 3 Jahren ago Reply


    • Hallo Herr Ruthmann,
      ja, der (ausscheidende) Praktikant, der die weitestgehenden Zugangsrechte besitzt, weil er ja allen Abteilungen zuarbeiten soll, oder dessen Zugangsrechte nicht nach seinem Ausscheiden entsprechend gesperrt werden, ist ein Klassiker.
      Auch die durchaus übliche Passwortweitergabe in der Urlaubssituation ist ein wertvoller Hinweis. Man kann dem nicht anders begegnen, als mit einfacher Ächtung.
      Als Datenschutzbeauftragter sollte man aber tatsächlich auch die Prozesse mit der Geschäftsführung besprechen, die für einen Ausfall oder für eine Urlaubsvertretung eines Mitarbeiters vorgesehen ist.
      Das sollte man tatsächlich in seine Checklisten mit einbauen.
      Ja, vielen Dank für den Hinweis noch mal – gerade in der Urlaubszeit hoch aktuell.

      Sascha Schoor 3 Jahren ago Reply


Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.