Industriespionage im Mittelstand

Das Wissen der Anderen

28.10.2012 von Joachim Hackmann
Sony, Google und die Nasa sind prominente Opfer des Cyberwars. Weniger spektakulär, aber nicht minder folgenschwer ist Industriespionage im Mittelstand.
Foto: Eisenhans - Fotolia.com

Neben den öffentlichkeitswirksamen Angriffen antermf bekannte Firmen und Institutionen hat in den vergangenen Jahren vor allem der Computerwurm "Stuxnet" für Aufsehen gesorgt. Er wurde vermutlich speziell entwickelt, um das iranischen Atomprogramm zu sabotieren und er schreckte die IT-Security-Branche auf, weil die Komplexität der Programmierung des Angriffs in den Augen der Experten die enorme Professionalität der Angreifer belegte. Die Sicherheitsbranche hat für die neue Art der Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene Bedrohung durch neue, ausgefeilte Spionagetechniken jenseits der schlichten, lästigen und von Skript-Kiddies programmierten Schadprogramme.

Vielfach ist Industriespionage das Ziel, denn Unternehmen, denen es gelingt, das sensible Know-how des Konkurrenten anzuzapfen, sparen sich Entwicklungskosten und können Produkte schnell und günstig auf den Markt bringen. In Deutschland gibt es nach Beobachtung von Christian Schaaf, Geschäftsführer von Corporate Trust, keine konkreten Zahlen, Daten oder Fakten zur aktuellen Bedrohung durch Industriespionage. Das Unternehmen hat sich daher zusammen mit der Brainloop AG, Anbieter von Lösungen zum Schutz sensibler Daten, und der TÜV SÜD AG daran gemacht, die Bedrohung für die deutsche Wirtschaft realistisch zu erfassen. Das Ergebnis haben die Partner nur in der Studie "Industriespionage 2012 - Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" veröffentlicht.

Industriespionage im Mittelstand
Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist.
Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll.
Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen.
Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden.
Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister.
Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht.
Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen.
Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent.
Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern.
Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent.
Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen.
Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus.
Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how.
Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus.
Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen.
Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle.
Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden.
Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit.
Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.

Jedes zweite Unternehmen ist betroffen: In der Studie gaben 21,4 Prozent der Befragten an, in den vergangenen drei Jahren durch mindestens einen konkreten Fall von Spionage geschädigt worden zu sein. In der letzten Umfrage aus dem Jahr 2007 waren es 18,9 Prozent. Weitere 33,2 Prozent der Firmen hatte einen mindestens einen Verdacht, konnten ihn aber nicht eindeutig belegen. Unterm Strich musste sich also mehr als die Hälfte der befragten Firmen mit dem Ausspähen von Betriebsgeheimnissen beschäftigen.

Der Mittelstand ist am meisten gefährdet: Die Autoren haben Fallzahlen mit der Größe der Unternehmen korreliert. Das Ergebnis belegt eine besondere Gefährdung mittelgroßer Unternehmen. Mit anteiligen 23,5 Prozent gab es im Mittelstand die meisten Vorfälle. Es folgen die Konzerne mit einer Häufigkeit von 18,8 Prozent und die Kleinunternehmen mit 15,6 Prozent.

Immenser finanzieller Schaden: Den durch Industriespionage verursachten jährlichen Gesamtschaden beziffert die Studie auf rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007, in der die Experten einen Verlust von 2,8 Milliarden Euro beklagten, entspricht dies einem Anstieg um 50 Prozent.

Die Zahl der Geschädigten nimmt zu: Die Häufigkeit der finanziellen Schäden durch Industriespionage ist ebenfalls deutlich angestiegen. Während bei der Studie 2007 nur 64,4 Prozent der geschädigten Unternehmen angaben, einen finanziellen Schaden erlitten zu haben, waren es 2012 bereits 82,8 Prozent. Dies stellt einen Anstieg um 28,7 Prozent dar. Beim Blick auf die typische Schadenshöhe fällt auf, dass Kleinbetriebe nur Schäden bis maximal 100.000 Euro feststellten, die finanziellen Negativauswirkungen im Mittelstand vor allem im Bereich 10.000 bis 100.000 Euro lagen (53,5 Prozent) und 23,5 Prozent der geschädigten Konzerne auch im Bereich über einer Million Euro Schäden bezifferten.

Angriffe lassen sich lokalisieren: Der Erhebung zufolge gab es die meisten Fälle in den GUS-Staaten (27,0 Prozent der Fälle), gefolgt von Europa (26,6 Prozent), Deutschland (26,1 Prozent) und Nordamerika (25,2 Prozent). Industriespionage direkt vor Ort in Asien identifizierten die Unternehmen nur in 10,4 Prozent aller Vorkommnisse. Anscheinend gehen die Firmen konkreten Hinweisen sehr gewissenhaft nach und schaffen es so, die die Angriffsorte auch zu identifizieren. Nur 6,3 Prozent aller geschädigten Unternehmen war es völlig unklar, wo die Spionage beziehungsweise der Informationsabfluss stattfand.

Der Feind im eigenen Haus: Die Erhebung bestätigt bekannte Erkenntnisse, wonach die häufigsten Schäden durch eigene Mitarbeiter entstehen. Knapp die Hälfte aller Spionageattacken werden von Kollegen gestartet, indem sie Informationen bewusst weitergeben und Daten stehlen. Zudem wird das Social Engineering zur ernsten Gefahrenquelle. Dabei werden sozialen Plattformen aktive Mitarbeiter geschickt ausgefragt. Zählt man die aktive und passive Beteiligung zusammen, waren Mitarbeiter in 70,5 Prozent aller Fälle in Industriespionage involviert.

Rechtsstreitigkeiten verursachen Schäden: Die finanziellen Folgen spüren die geschädigten Unternehmen vor allem durch Rechtstreitigkeiten (65,4 Prozent). Zudem tragen die Firmen schwer am Imageschaden gegenüber Kunden und Geschäftspartnern, immerhin ein Drittel aller Unternehmen verzeichnete auch Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen.

Die Polizei bleibt draußen: Nur bei jedem fünften Vorfall wurden der Verfassungsschutz oder die Polizeibehörden hinzugezogen. 57,6 Prozent der Unternehmen vertrauen auf externe Sicherheitsfachleute wie Computer- oder Abhörschutzspezialisten beziehungsweise forensische Ermittler.

Das Prinzip Hoffnung regiert

Die Studie "Industriespionage 2012" möchte darstellen, wie es tatsächlichen um die gefahrenlage in deutschland bestellt ist.
Foto: Corporate Trust

Die Befragung der Unternehmen zeigt, dass die internen Abwehrmechanismen oft der technischen Entwicklung hinterherhinken. Zwar verfügen annähernd 90 Prozent der Unternehmen über einen Passwortschutz auf allen Geräten und eine entsprechende Absicherung des Firmennetzwerks gegen Angriffe von außen, jedoch nur 18,9 Prozent setzen auf verschlüsselten E-Mail-Verkehr und nur 18,6 Prozent verbieten es, USB-Sticks und portable Festplatten oder CD-Brenner an den PC anzuschließen. Auf die Gefahren von Social Engineering haben die Firmen bis dato kaum reagiert. 73,9 Prozent der Befragten verzichten auf regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter. Die Unternehmen verlassen sich zumeist auf Geheimhaltungsverpflichtungen in den Arbeitsverträgen, die Integrität von neuen Bewerbern wird dagegen nur selten geprüft.

Auch die Gefahren auf Geschäftsreisen ins Ausland werden allzu häufig ignoriert: Gute die Hälfte der Firmen verzichtet auf Sicherheitsvorkehrungen, nur zirka jedes sechste Unternehmen rüstet seine Angestellten mit verschlüsselter Hard- und/oder Software für eine geschützte Kommunikation (16,4 Prozent) aus, oder gibt den Angestallten speziell vorbereiteten Reise-Laptops mit Minimalkonfiguration und nur geringem Datenbestand (14,1 Prozent) auf den Weg.

Die verbesserungswürdige Ausstattung verwundert angesichts der Tatsache, dass die Mehrzahl der Verantwortlichen davon ausgeht, dass die zukünftige Bedrohung durch Industriespionage zunimmt. Jedoch glaubt nur knapp die Hälfte, dass das für das eigene Unternehmen zutrifft. Zum Vergleich: 2007 gaben noch 66,3 Prozent der Unternehmen an, dass ihr eigenes Risiko für Industriespionage gleich bleiben würde.

Als häufigstes Risiko betrachten die Unternehmen die zunehmende Verwendung mobiler Geräte wie Tablets und Smartphones (63,7 Prozent), gefolgt von der sinkenden Sensibilität der eigenen Mitarbeiter im Umgang mit vertraulichen Daten (54,3 Prozent). Auch das zunehmende Outsourcing von Dienstleistungen (52,4 Prozent) und der wachsende Einsatz von Cloud-Services (47,7 Prozent) werden als Bedrohungen der Zukunft eingeschätzt. Die vermehrten Aktivitäten staatlich gelenkter Hackergruppen sehen 44,1 Prozent der Firmen als zunehmendes Risiko für ihr Know-how.

An der Befragung im Rahmen der Studie haben sich 597 Unternehmen von insgesamt 6.924 angeschriebenen Firmen beteiligt. Sie wurden aus einer Liste mit 65.000 Unternehmen nach dem Zufallsprinzip ausgewählt. Die Befragung wurde im Januar und Februar 2012 durchgeführt und richtete sich überwiegend an die Mitglieder des Vorstands beziehungsweise der Geschäftsführung (48,9 Prozent aller Antworten). Selten haben die Leiter Unternehmenssicherheit (7,5 Prozent) und die IT-Leiter (6,9 Prozent) die Fragebögen ausgefüllt. Auch der Chief Information Security Officer (CISO) tauchte nur vereinzelt als antwortendes Berufsbild auf (6,4 Prozent). Das lässt darauf schließen, so die Autoren der Studie, dass es bisher vermutlich in den wenigsten Unternehmen eine solche Position gibt oder dass der Informationsschutz heute tatsächlich in den meisten Unternehmen zur Chefsache erklärt wurde.

Hacker-Attacken
Datenklau beim Security-Spezialisten RSA
Eigentlich geben Firmen ja viel Geld aus, um den externen Zugriff auf ihre System mit "SecureID"-Technik von RSA extra sicher zu machen.
Möglicherweise Millionen Kundendaten gestohlen
Hacker haben beim amerikanischen Online-Schuhhändler Zappos möglicherweise Daten von Millionen Kunden erbeutet.
Kriminelle Hacker wollten 50.000 Dollar von Symantec
Neue Entwicklungen im Fall "Codeklau bei Symantec": Die Datendiebe haben versucht, Geld zu erpressen. Das klappte nicht - nun steht neuer Code im Web.