Mit dem Thema Wirtschaftsspionage verhält es sich in der Öffentlichkeit ein wenig wie mit den Gezeiten: Mal herrscht Ebbe in den Medien, dann steigt der Pegel wieder. Ungeachtet des jeweils aktuellen Hype-Niveaus muss Unternehmern jedoch klar sein, dass auch deutsche Firmen im Visier von Organisationen stehen, die bestrebt sind, auf relativ einfache Weise vorhandene Wettbewerbsvorteile zu egalisieren - und zwar rund um die Uhr. "Aus unserer Sicht sind Angriffe auf das Know-how von Unternehmen ein Dauerbrenner", sagt Wilfried Karden, Projektverantwortlicher für Spionageabwehr im Innenministerium von Nordrhein-Westfalen. Die Aufgabe des Verfassungsschützers: "Wir versuchen, dass die Firmen trotz aller wirtschaftlichen Schwierigkeiten das Thema Spionage nicht aus den Augen verlieren."
Die Methoden der Angreifer sind meistens interessant, manchmal hinlänglich bekannt und gelegentlich sogar amüsant. Nicht immer ist IT im Spiel, auch wenn sich viele Daten und Informationen am leichtesten in digitaler Form verschleppen lassen. Mal legen Angreifer einen WLAN-Router in der Tupper-Dose am Kabel außerhalb des Firmengebäudes ab, mal werden Speicherkarten oder Festplatten in Abteilungsdruckern vor Ort beziehungsweise über das Netz kopiert, und seit dem vergangenen Jahr sind vermehrt Keylogger im Einsatz, die sensible Informationen an der Tastatur abgreifen und versenden. Karden zufolge wurde solche Mitlesesoftware im Sommer 2008 nicht nur im öffentlichen Sektor aufgespürt, "sondern in einem breit gestreuten Spektrum der Industrie bis hin zur Versicherungswirtschaft".
Saubermänner mit schmutzigen Absichten
Als seinen "Lieblingsangriff" bezeichnet der Verfassungsschützer indes eine klassische Spionagemethode mit zusätzlicher Wertschöpfung: die Wiederverwertung des Abfalls. "Der Nachrichtendienst eines direkten Nachbarlandes hatte eine Firma gegründet und preiswerte Reinigungsdienste auf dem deutschen Markt angeboten", so Karden. Die Kolonnen seien morgens durch die Büros der Kunden gegangen und hätten sauber gemacht.
In der Reinigungsfirma waren jedoch viele Expertinnen und Ingenieurinnen beschäftigt, die den Inhalt der Papiertonnen sowie die Unterlagen auf den Schreibtischen und an den Wänden inspizierten und fotografierten. Die Folge für das Innenministerium NRW: "Bei uns werden die Räume mit sensiblen Informationen inzwischen nur noch gereinigt, wenn der Büroinhaber oder ein Vertreter anwesend ist", sagt Karden.
Spionage im Tarnkleid der Beschaffungskriminalität
Häufig kommen auch "atypische" Einbruchsdiebstähle vor, bei denen es die Angreifer nicht auf Geld oder teure Geräte abgesehen haben, sondern auf das Know-how der Firma. In Düsseldorf fuhren Täter in den achten Stock eines Bürohauses, um dort gezielt sechs Festplatten auszubauen. Ein anderer Dieb stieg am Regenrohr hinauf in die zweite Etage eines Geschäftsführerbüros, um lediglich ein älteres "Notebook ohne Netzteil" zu stehlen. "Das ist keine Beschaffungskriminalität", sagt Karden. Allerdings werde ein Diebstahl in vielen Fällen nicht als Spionageversuch erkannt.
Wirtschafts- oder Industriespionage?
Bei Wirtschaftsspionage handelt es sich um die staatlich gelenkte oder gestützte und von Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen und Betrieben. Im Gegensatz dazu beschreibt der Begriff Industriespionage die Ausforschung einer Firma durch ein konkurrierendes Unternehmen. In der Realität ist die Abgrenzung jedoch kaum von Belang.
"Ob die wesentlichen fünf Prozent meines Know-hows, die meine Zukunft sichern sollen, von einem fremden Staat oder direkt von einer anderen Firma gestohlen werden, ist irrelevant", sagt Verfassungsschützer Wilfried Karden. Schließlich kann auch ein Nachrichtendienst die entwendeten Informationen an Unternehmen seines Landes weiterreichen.
Nachrichtendienste verdienen gut an Wirtschaftsspionage
Gerade für Nachrichtendienste ist die Unterstützung ihrer heimischen Unternehmen ein lohnendes Geschäftsmodell: "Die Volkswirtschaften hängen heutzutage nicht mehr vom Militär, sondern von der Entwicklung der Wirtschaft ab", sagt Karden. In Deutschland wird kaum noch preiswert gefertigt, jedoch entstehen hierzulande viele Innovationen gerade in kleinen und mittleren Unternehmen. "Diese Innovation wird durch Konkurrenten, aber auch durch fremde Nachrichtendienste stetig an- und abgegriffen", warnt der Experte.
Karden beruft sich neben Fällen, die ihm persönlich bekannt sind, auch auf eine Studie im Auftrag der Bundesregierung aus dem Jahr 2007, derzufolge jedes fünfte Unternehmen glaubte, bereits Ziel eines Spionageangriffs geworden zu sein; einen entsprechenden Verdacht hatte sogar jede dritte Firma geäußert. Das Problem: "Die Fallzahlen steigen", so der Verfassungsschützer, "denn die Zuwachsraten liegen bei zehn Prozent pro Jahr." Und die Rezession werde den Konkurrenzdruck noch verstärken.
Panikmache oder das Schweigen der Opfer?
Es macht die Sache nicht leichter, dass im Umfeld der Wirtschafts- und Industriespionage allerorten auch blanke Panikmache anzutreffen ist. Diese beginnt bei "unabhängigen Studien" im Auftrag einschlägiger Sicherheitsanbieter, setzt sich fort über Verlautbarungen interessierter Lobbygruppen und endet bei hypothetischen Schadenssummen, die angeblich auf Kosten der Spionage gehen. Im vergangenen Jahr hat sich in den Medien ein Volumen zwischen vier und 50 Milliarden Euro allein in Deutschland etabliert, das von "Experten" errechnet worden sei.
"Es ist schwierig, an belastbare Informationen heranzukommen", sagt Carsten Casper, Security-Analyst von Gartner. Die Klienten würden sich bei derartigen Vorkommnissen traditionell bedeckt halten, und es sei nur schwer zu bestimmen, welche Absicht hinter dem einzelnen Vorfall steckte. Waren es ausländische Mächte, die Mafia oder "nur" ein Mitarbeiter?
Was also fehlt, ist die adäquate Sensibilisierung für das Thema, weil es eben auch nicht andauernd im Smalltalk mit Kollegen anderer Unternehmen breitgetreten wird. Niemand wird freimütig eingestehen, dass er zum Opfer von Datendieben geworden ist. Diese Zurückhaltung macht es wiederum schwer, rational für Sicherheitsmaßnahmen zu argumentieren. Die Dunkelziffer ist groß, und solange man selbst nicht betroffen ist, kann sie das auch ruhig bleiben. Das St.-Florians-Prinzip gilt stets, bis das eigene Haus Feuer fängt.
Firmen sparen an der Sicherheit
Die Einstellung ist verständlich, denn was den Unternehmen fehlt, ist Geld: für Berater, Schulungen und Technik. Gerade im kleineren Mittelstand gelten Windows-Passwort und Virenschutz als Standards bei den Sicherheitsmaßnahmen, adäquate Firewalls sind schon seltener anzutreffen, und Lösungen für Data Loss Prevention (DLP - auch Data Leakage Protection) muss man mit der Lupe suchen. Hinzu kommt jetzt die Wirtschaftskrise: Wenn das Wasser bis zum Hals steht, investiert man nicht in Sonnencreme - auch wenn man Gefahr läuft, sich das Gesicht zu verbrennen.
Für Verfassungsschützer Karden müssen es jedoch keine allzu ausgefeilten Lösungen sein, um sich und das eigene Haus wirksam gegen Spionageangriffe zu verteidigen. "Wir gehen davon aus, dass sich ein Sicherheitskonzept relativ leicht erstellen lässt." Dabei beruft er sich auf die Fünf-Prozent-Regel: "Unternehmen haben fünf Prozent werthaltiges Know-how für künftige Projekte, das kein anderer bekommen sollte." Diese Informationen gelte es zu identifizieren. Seiner Erfahrung zufolge wissen darauf angesprochene Unternehmer sofort, welches Know-how gemeint ist - sie hätten sich zumeist nur noch keine grundlegenden Gedanken zum Thema Spionage gemacht.
Verschlüsselung sensibler Daten wird verschlafen
Im Grunde genommen geht es darum, ein Sicherheitskonzept für diese fünf Prozent an geschäftskritischen Informationen zu entwickeln und die Mitarbeiter zu sensibilisieren - "damit sie nicht im Sportverein darüber reden". Rechnern, auf denen diese Informationen verarbeitet würden, fehlt Karden zufolge oft ein entscheidender Schutz. "Gerade bei Einbruchsdiebstählen stellen wir fest, dass in KMUs 50 Prozent der Rechner und fast 90 Prozent der USB-Sticks nicht verschlüsselt sind." Seine Devise ist simpel und daher effektiv: "Gesichert aufbewahren, gesichert kommunizieren." Damit sei schon eine Menge für die Sicherheit getan, und das Konzept lasse sich relativ schnell umsetzen. Schutz vor Spionage sei schließlich nichts anderes als Schutz vor einem Einbruchsdiebstahl: "Man muss versuchen, den Täter möglichst lange vor der Tür zu halten."
Grundschutz - der Mindeststandard
Gartners Security-Analyst Carsten Casper empfiehlt kleinen und mittleren Unternehmen, sich auf drei Schritte zu konzentrieren, um zumindest einen Anfang zum Schutz der geschäftskritischen Informationen zu machen.
Klassifizieren: Unternehmen müssen die Spreu vom Weizen trennen und festlegen, über welche Arten von Daten und Informationen sie verfügen. Schließlich sind Schutzmaßnahmen teuer, und es lohnt sich nicht, sie auf alle Formen von Informationen anzuwenden. In einem ersten Schritt gilt es, den Verantwortlichen und die Art der Klassifizierung zu definieren. Anschließend werden die Daten und Informationen aufgrund ihrer Vertrauenswürdigkeit in verschiedene Klassen eingeteilt. Drei Sicherheitsklassen reichen nach Ansicht von Gartner-Analyst Casper meist aus: öffentlich, intern und vertraulich.
Verschlüsseln: Die Kryptografie spielt eine wesentliche Rolle, da man die weltweit kursierenden Informationen aus dem Unternehmen nicht konsequent schützen kann. Da man sich zudem nicht nur auf die Zugriffskontrollen des Betriebssystems verlassen sollte, rät Casper, Informationen nach Möglichkeit zu verschlüsseln. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.
Datenlecks abdichten: Das Thema Data Leakage Protection beziehungsweise Data Loss Prevention (DLP) ist ein Wachstumsbereich der Sicherheitsbranche, der allerdings in Deutschland noch in den Kinderschuhen steckt. Mit den Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. Zudem sind die Lösungen eher für größere Unternehmen konzipiert.