Intellectual Property

Schützen Sie Ihr geistiges Eigentum richtig?

20.09.2017 von Alyson Behr, Derek Slater und Florian Maier

Das geistige Eigentum Ihres Unternehmens ist unter Umständen wertvoller als seine physischen Güter. Finden Sie heraus, ob Sie Ihre Intellectual Properties richtig schützen.

Geistiges Eigentum ist die Lebensader eines jeden Unternehmens. Das war nicht immer so. Deswegen steht Intellectual Property heute umso mehr im Fadenkreuz krimineller Hacker. Insbesondere die Entertainment-Industrie wird immer wieder öffentlichkeitswirksam um ihr geistiges Eigentum erleichtert - sei es nun "Pirates of the Caribbean" oder "Game of Thrones".

Der Schutz ihres geistigen Eigentums sollte für Unternehmen an erster Stelle stehen. Schützen Sie Ihre Intellectual Properties richtig?
Foto: Jirsak - shutterstock.com

Das geistige Eigentum Ihres Unternehmen - egal ob es nun aus Patenten, Betriebsgeheimnissen oder einfach dem Knowhow Ihrer Mitarbeiter besteht - ist eventuell ebenfalls viel wertvoller als Ihre physischen Assets. Security-Profis sollten deshalb alles daran setzen, die dunklen Mächte, die nach Ihren Daten gieren, zu identifizieren und deren Motivation und Taktiken zu entlarven. Diese dunklen Gestalten tarnen sich unter Umständen auch als "Competitive Intelligence Researchers". Andere sind einfach Spione, die von der Konkurrenz oder auch einer Regierung beauftragt wurden. In jedem Fall schrecken diese Individuen vor nichts zurück - Bestechung, Betrug, Diebstahl und Bespitzelung gehören zu ihrem täglich Brot.

Der Schutz von geistigem Eigentum ist ein komplexes Unterfangen, von dem verschiedene Bereiche eines Unternehmens betroffen sind - unter anderem die Rechts- und IT-Abteilung, aber auch das HR-Department und weitere. Wir klären Sie umfassend über alle wichtigen Aspekte auf, die Sie bedenken sollten, um Ihre Intellectual Properties bestmöglich zu schützen.

Was ist geistiges Eigentum?

Unter den Begriff geistiges Eigentum kann so Einiges fallen: vom Produktionsprozess über Pläne für einen Produkt-Launch, bis hin zum Betriebsgeheimnis. Es handelt sich hierbei um ein ausschließliches Recht an einem immateriellen Gut. Nach Definition des World Intellectual Porperty Ogranization (WIPO) bezeichnet der Begriff Intellectual Property geistige Kreationen - also Erfindungen, Literatur oder Kunst, Symbole, Namen, Bilder und Designs - die im kommerziellen Umfeld zur Anwendung kommen. Dabei teilt das WIPO geistiges Eigentum in zwei Kategorien auf:

Unter "industrial property" fallen demnach (nicht nur, aber auch) Patente für Erfindungen, Marken, industrielle Designs und geografische Angaben.
Unter dem Begriff "copyright" fasst die Institution hingegen literarische Werke wie Gedichte, Romane, Theaterstücke, Filme, Musik und andere künstlerische Erzeugnisse zusammen.

Für Unternehmen in vielen Branchen ist ihr Intellectual Property wichtiger, als ihre physischen Güter - zum Beispiel in der Pharmaindustrie. Der Diebstahl von geistigem Eigentum kostet die Branche alleine in den USA jährlich knapp 600 Milliarden Dollar - und auch in Deutschland wird die Branche zunehmend zum Ziel von Industriespionen.

Dabei haben es kriminelle Hacker und Spione in erster Linie auf folgende Güter abgesehen:

Patente: Sie gewähren ein exklusives Recht auf Herstellung und/oder Vermarktung konkreter, greifbarer Dinge beziehungsweise Produkte. Eine Patentanmeldung kann auch in fremden Ländern vorgenommen werden, um der Konkurrenz Ihre Pläne so lange wie möglich vorzuenthalten. Wenn Sie ein Patent einmal innehaben, können andere Ihr Produkt lizensieren. Das Schutzrecht eines Patents erstreckt sich in Deutschland über maximal zwanzig Jahre.

Schutzmarken: bestehen aus Namen, Sätzen, Sounds oder Symbolen, die in Zusammenhang mit einem Service oder Produkt Verwendung finden. Eine Marke kann dazu beitragen, dass Unternehmen ihre Reputation erhöhen, weil es mit einem bestimmten Qualitätslevel assoziiert wird. Eine eingetragene Marke genießt eine Schutzdauer von zehn Jahren und kann nach Ablauf erneuert werden.

Urheberrechtlich geschützte Werke: Darunter fallen künstlerische Werke, die mit Hilfe eines beweglichen Mediums festgehalten wurden - also zum Beispiel Gedichte, Romane, Songs oder Filme. Das Urheberrecht schützt dabei den Ausdruck einer Idee, aber nicht die Idee selbst. Der Inhaber eines urheberrechtlich geschützten Werks kann dieses reproduzieren, es in eine andere Form bringen (zum Beispiel im Rahmen einer Buchverfilmung) und sein Werk auch öffentlich verkaufen oder ausstellen. Um ein Urheberrecht zu halten, müssen Sie dieses zwar nicht unbedingt anmelden - wenn Sie es aber gerichtlich durchsetzen wollen, ist diese Registrierung die Grundvoraussetzung. Das Urheberrecht greift, solange der Autor des Werks am Leben ist - und 50 Jahre darüber hinaus.

Betriebs- und Geschäftsgeheimnisse: Das können Formeln, Devices oder Datensammlungen sein, die ihrem Besitzer einen Wettbewerbsvorteil verschaffen. Betriebsgeheimnisse sind in Deutschland sowohl durch das Strafgesetz (§§ 203, 204 StGB), als auch durch das Gesetz gegen den unlauteren Wettbewerb (§§ 17 ff. UWG) geschützt. Um ein Betriebs- oder Geschäftsgeheimnis schützen zu können, müssen Unternehmen nachweisen, dass es sich tatsächlich um ein Geheimnis handelt, das für die Firma einen Mehrwert darstellt. Auch geeignete Maßnahmen zur Geheimhaltung müssen nachgewiesen werden - etwa dahingehend, dass nur ausgewählte Personen im Unternehmen darüber informiert sind.

Geistiges Eigentum kann allerdings auch einfach nur eine Idee sein: Wenn Ihr Entwicklungschef einen Eureka-Moment während der Morgentoilette erlebt und diese neue Idee dann im Büro umsetzt, ist das auch Intellectual Property.

Wie Sie Intellectual Property richtig schützen

Wird Ihr geistiges Eigentum von kriminellen Subjekten gestohlen, ist es meist schwer, diese zu fassen. Die gestohlenen Daten oder Informationen zurück zu bekommen ist in der Regel unmöglich. An dieser Stelle ist ein kleines bisschen Paranoia hilfreich - schließlich sprechen wir hier nicht über theoretische Gefahren, sondern reale. Deshalb ist es auch unumgänglich, Ihren CSO, CISO und/oder CRO mit ins Boot zu holen, wenn es um den Schutz von Intellectual Property geht. Hier zwei Beispiele dafür, was passieren kann, wenn Sie das nicht tun:

Ein Ingenieur trifft sich regelmäßig mit seinem ehemaligen Chef - der nun für einen Konkurrenten arbeitet - zum Mittagessen. Der Ingenieur ist davon überzeugt, dass er bei der Erlangung von "competitive intelligence" Heldenhaftes leistet. Leider sorgen die Informationen, die er seinerseits dabei herausgegeben hat wenig später dafür, dass seinem Arbeitgeber drei Ausschreibungen in 14 Monaten durch die Lappen gehen. Das war's dann mit der Marktführerschaft.
Osteuropäische Wissenschaftler, die für amerikanische Militärprojekte arbeiten, erhalten in ihren Heimatländern ungefragt Einladungen zu Konferenzen und Seminaren, wo sie gegen Bezahlung vorsprechen sollen. Die Einladungen stellen dabei auf ihre wissenschaftlichen Leistungen ab, weswegen die Wissenschaftler annehmen. Am Ende kommt heraus, dass es nur ein ziemlich billiger Weg für die Regierungen war, an Informationen über US-Verteidigungsprojekte zu kommen.

Um solche Szenarien zu vermeiden und Ihr Intellectual Property bestmöglich zu schützen, sollten Sie die folgenden Schritte verinnerlichen. Diese stellen das absolute Minimum an Sicherungsmaßnahmen für Ihr geistiges Eigentum dar:

Wissen: Wenn alle Mitarbeiter wissen, welche Assets zu schützen sind, verstehen sie auch besser, wie - und vor wem - sie es schützen können, beziehungsweise müssen. Deshalb sollten sich CSOs auf regelmäßiger Basis mit den Entscheidern austauschen, die die Hand auf den geistigen Gütern des Unternehmens haben. Tauschen Sie sich mit CEO, COO, HR-Managern, den Kollegen aus Sales, Rechtsabteilung, Produktion und Forschung & Entwicklung aus - mindestens einmal pro Quartal. Die Führungsebene eines Konzerns muss an einem Strang ziehen, um die Intellectual Properties schützen zu können.

Priorisieren: CSOs, die über jahrelange Erfahrung im Schutz von geistigem Eigentum verfügen, empfehlen eine Risiko- und Kosten-Nutzen-Rechnung durchzuführen. Inventarisieren Sie Ihre Assets und bestimmen Sie dann, welches im Falle eines Verlusts der Firma den größten Schaden zufügen würde. Dann überlegen Sie sich, für welche Güter das höchste Diebstahl-Risiko besteht. Die Kombination dieser beiden Faktoren sollte Ihnen Aufschluss darüber geben, welcher Bereich Ihre Schutz-Bemühungen (und Ihr Budget) am nötigsten hat.

Kategorisieren: Wenn es vertrauliche Informationen im Unternehmen gibt, sorgen Sie dafür, dass das auch entsprechend vermerkt wird. Das mag trivial klingen, aber: Wenn Sie sich erst einmal im Gerichtssaal befinden und nachweisen müssen, dass eine bestimmte Person bestimmte Daten abgegriffen hat, auf die sie keinen Zugriff hätte haben dürfen, werden Sie untergehen - wenn Sie nicht nachweisen können, dass Sie klargemacht haben, dass es sich hierbei um vertrauliche Daten handelt.

Wegschließen: Digitaler und auch physischer Schutz von Intellectual Property ist ein Muss. Schränken Sie den Zugang zu Räumen, in denen sensible Daten vorgehalten werden, konsequent ein - egal ob es sich dabei um den Server-Raum oder ein Archiv voller Aktenschränke handelt. Halten Sie schriftlich fest, wer Zugang hat. Sichern Sie den Zugang zu wichtigen Datenbanken mindestens mit einem Passwort ab und sorgen Sie auch hier für entsprechend hohe Zugangsschranken.

Weiterbilden: Awareness-Programme können ein effektiver Weg sein, um die Gefahr von Leaks und Datendiebstählen zu verringern - aber nur, wenn das Training auch spezifisch auf die jeweiligen Mitarbeiter und deren konkrete Prozesse ausgerichtet ist. Wie so oft stellt der Mensch das schwächste Glied in der Security-Kette dar. Deswegen ist eine Strategie zum Schutz geistigen Eigentums auch wertlos, wenn sie ausschließlich auf Firewalls und Copyrights fokussiert.

Tools einsetzen: Eine wachsende Zahl von Software Tools steht inzwischen zur Verfügung, um den Schutz von Intellectual Property im Unternehmen zu unterstützen. Data Loss Prevention (DLP) -Tools gehören inzwischen bei vielen Security-Lösungen zur Grundausstattung. Mit diesen lassen sich sensible Dokumente und Informationen nicht nur lokalisieren, sondern auch überwachen.

Das große Ganze sehen: Wenn jemand Ihr internes Netzwerk scannt und dabei das Intrusion-Detection-System auslöst, ruft üblicherweise ein IT’ler bei dem betreffenden Mitarbeiter an und bittet ihn, das zu unterlassen. Der Mitarbeiter bietet seinerseits eine plausible Erklärung an und die Sache ist gegessen. Erst einmal. Etwas später erwischt ein Pförtner denselben Mitarbeiter dabei, wie er geschützte Dokumente mit nach Hause nehmen will. Der entschuldigt das lapidar mit einem Versehen. Über die nächsten Wochen kommt es in verschiedenen Abteilungen zu ähnlichen Vorfällen mit demselben Mitarbeiter. Weil aber niemand das große Ganze sieht, können die Puzzleteile nicht zusammengefügt werden - und niemand bemerkt, dass hier gerade ein Innentäter am Werk ist. Aus diesem Grund ist der fortlaufende Austausch zwischen allen Abteilungen eines Unternehmens so wichtig.

Wie der Feind denken: Wenn Sie Ihr eigenes Unternehmen ausspionieren wollen würden - wie würden Sie das angehen? Solche Szenarien zu durchdenken wird dazu führen, dass Sie künftig auch Dinge wie Telefonlisten als schützenswert erachten, Dokumente und Akten schreddern, bevor sie in den Papierkorb wandern und die Errungenschaften potenzieller neuer Mitarbeiter einmal mehr kritisch überprüfen.

Global denken: Im Lauf der letzten Jahre haben sich Frankreich, China, ganz Lateinamerika und die ehemaligen Staaten der Sowjetunion einen eher zweifelhaften Ruf "erarbeitet", wenn es um Industriespionage geht. Wenn Sie das Bedrohungslevel für Ihr Business in einzelnen Ländern ermitteln wollen, liefert der Corruption Perceptions Index, der einmal jährlich von Transparency International herausgegeben wird, willkommene Anhaltspunkte.

Hier die Top 10 der "als am korruptesten wahrgenommenen" Länder 2016:

Somalia
Südsudan
Nordkorea
Syrien
Jemen
Sudan
Lybien
Afghanistan
Guinea-Bissau
Venezuela

So stehlen Spione und Diebe Ihr geistiges Eigentum

Um solide Defensivmaßnahmen aufstellen zu können, sollten Sie wissen, wie die Cyberspione und Datendiebe vorgehen, die es auf Ihr geistiges Eigentum abgesehen haben.

Öffentlich verfügbare Informationen: Laut dem Competitive- Intelligence-Experten Leonard Fuld, fügen laxe Security-Richtlinien Unternehmen in der Regel mehr Schaden zu als Datendiebe und Cyberspione. Hier einige Beispiele, wie Mitarbeiter unbeabsichtigt Unternehmens-Details verraten können, die - in der richtigen Kombination - dafür sorgen können, dass Wettbewerbsvorteile sich in Luft auflösen und die Konkurrenz wie durch Zauberhand Marktanteile gutmacht:

Sales-Mitarbeiter, die kommende Produkte auf Messen präsentieren
Technische Abteilungen, die ihre F&E-Standorte in Stellenausschreibungen detailliert beschreiben
Zulieferer oder Partner, die sich öffentlich mit Verkaufszahlen auf der eigenen Webseite brüsten
PR-Abteilungen, die Pressemitteilungen über die Einreichung von Patenten herausgeben
Unternehmen, die in streng regulierten Branchen tätig sind und bei ihren Reports (die teilweise veröffentlicht werden) versehentlich zuviel Informationen preisgeben
Mitarbeiter die Kommentare in Internetforen oder auf sozialen Kanälen posten

Telefonarbeit: John Nolan ist Gründer der Phoenix Consulting Group und hat einige tolle Geschichten darüber auf Lager, was Leute ihm regelmäßig am Telefon erzählen. Leute wie er sind der Grund dafür, dass auch scheinbar gut gemeinte Listen mit Namen, Titeln und Durchwahlen aller Mitarbeiter oder interne Newsletter, die Abgänge oder Beförderungen verkünden, unter Verschluss gehalten werden sollten. Denn je mehr Nolan über die Person, die er anruft, weiß, desto besser kann er aus ihr Informationen herauskitzeln. "Ich stelle mich erst einmal vor und sage dann zum Beispiel: ‚Ich arbeite gerade an einem Projekt und mir wurde gesagt, Sie sind der beste Ansprechpartner, wenn es um gelbe Marker geht. Haben Sie gerade ein paar Minuten?‘", beschreibt er seine Methoden. "Von 100 Leuten sind 50 bereit mit uns zu sprechen, nur auf Grundlage der eben genannten Informationen."

Die anderen 50 fragen zunächst, was die Phoenix Consulting Group eigentlich ist, beziehungsweise tut. Darauf bekommen sie von Nolan zur Antwort, dass es sich um ein Research-Unternehmen handelt, dass im Kundenauftrag handelt. Den Namen des Kunden könne er jedoch aus rechtlichen Gründen nicht nennen (was auch der Wahrheit entspricht). Daraufhin legen im Schnitt 15 Leute auf - die anderen 35 lassen sich auf ein Gespräch ein. Keine schlechte Quote. Beim Gespräch macht sich Nolan dann Notizen, die in zweierlei Datenbanken abgelegt wird: Eine für seinen Kunden und eine für sich selbst. In letztgenannter Datenbank befinden sich die Informationen von circa 120.000 Quellen - inklusive Daten über deren Qualifikation, Freundlichkeit und persönlicher Informationen.

Cyberspione und Datendiebe nutzen ganz ähnliche Taktiken und versuchen Informationen zu erlangen, indem sie diese indirekt erfragen oder sich mit fremden Identitäten schmücken. Diese Vorgehensweise bezeichnet man auch als Social Engineering. Solche digitalen Betrugsmaschen beginnen ebenfalls meist mit einem - auf den ersten Blick - harmlosen Anruf eines Studenten, der gerade an seiner Bachelor-Arbeit schreibt oder einer vermeintlichen E-Mail des Kollegen der gerade ganz dringend ein Dokument braucht. Auch im Namen der Assistenz der Geschäftsleitung verschicken kriminelle Hacker gerne E-Mails und erschleichen sich so beispielsweise Kontakt- und Adresslisten oder gleich millionenschwere Geldbeträge, die für vermeintliche Großaufträge dringend überwiesen werden müssen.

Social Engineering: Sind Sie betroffen?

Augen auf im Web
Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind.

.ru ist doch sicher, oder?
Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten.

Wenn Ortographie zum Albtraum wird
Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen.

Eine vertrauenswürdige Quelle
Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail.

Quellensuche Teil 2
Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen.

Persönliche Daten ...
... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden.

Passwortwechsel leicht gemacht
Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account.

Das große Geld
Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.

Dabei sind viele dieser Anrufe noch nicht einmal illegal. Denn während es in bestimmten Fällen illegal sein kann, eine fremde Identität anzunehmen, ist es in der Regel nicht strafbar, unehrlich zu sein.

Öffentlichkeitsarbeit: Im Zuge des Technologie-Booms wurde ein bestimmter US-Linienflug, der jeden Morgen von Austin, Texas nach San Jose, Kalifornien ging, als "The Nerd Bird" bekannt. Schließlich karrte der Flieger regelmäßig IT-Geschäftsleute von einem US-High-Tech-Zentrum zum anderen. Nebenbei wurden Flüge wie dieser für Spione und Diebe zur willkommenen Gelegenheit, Informationen abzugreifen. Die Möglichkeiten sind vielfältig: Mitgehörte Unterhaltungen, ein verstohlener Blick auf die Powerpoint-Präsentation oder die Excel-Tabelle des Sitznachbarn.

Jeder öffentliche Platz, an dem sich Ihre Mitarbeiter auf einer Dienstreise aufhalten können, ist auch den Cyberkriminellen zugänglich: Flughäfen, Cafes und Restaurants, Bars und insbesondere Messen und Events. Dabei kommen auch andere Szenarien in Betracht: Mitarbeiter von Konkurrenten könnten sich zu solchen Gelegenheiten als potenzielle Kunden ausgeben, um an wertvolle Informationen zu kommen. Ihre Mitarbeiter sollten sich deshalb immer darüber bewusst sein, welche Informationen sie - insbesondere bei öffentlichen Auftritten - herausgeben können und welche nicht. Dazu sollten Sie unbedingt die Zusammenarbeit mit dem Marketing Team fördern.

Eine weitere potenzielle Schwachstelle: Bewerbungsgespräche. Besonders verzweifelte Wettbewerber könnten das Risiko eingehen und eigene Mitarbeiter als Bewerber einschleusen oder externe Auftraggeber anheuern, um das zu tun. Möglich ist auch, dass Konkurrenz-Unternehmen Ihre Mitarbeiter zum Job Interview einladen - alleine mit dem Hintergedanken, interne Informationen zu "erbeuten".

Vollendung: Einige Aspekte zum Schutz von geistigem Eigentum sind relativ einfach zu bewerkstelligen. In Deutschland wird Wirtschaftsspionage auf Bundesebene vom Verfassungsschutz (VS) verfolgt, auf Landesebene sind die jeweiligen VS-Landesämter zuständig. Auch das Bundesamt für Sicherheit in der Informationstechnik beschäftigt ein Spionageabwehrteam. Zusätzlich können Geheimhaltungsverträge das Schutzniveau Ihrer Intellectual Properties erhöhen. So richtig kompliziert wird es aber erst, wenn es darum geht Ihren Mitarbeiter zu verdeutlichen, wie vermeintlich nutzlose Informationen miteinander kombiniert werden können, um ein nützliches Informations-Portfolio zu erstellen. Und wie eine simple Telefonliste in den Händen von Leuten wie John Nolan zur Waffe werden kann.

Folgende Situation: Nolan hatte einmal einen Kunden, der ihn damit beauftragt hatte, Informationen darüber zu beschaffen, ob ein bestimmter Konkurrent an einer bestimmten Technologie arbeitet. Bei seinen Recherchen fand Nolan heraus, dass neun oder zehn Menschen, zu diesem Spezialgebiet regelmäßig publiziert hatten, seit sie zusammen studiert hatten. Plötzlich hatten allesamt damit aufgehört. Einige Recherchen später wusste Nolan, dass sie alle in eine bestimmte Gegend gezogen waren und für dasselbe Unternehmen tätig sind.

Zwar wurde so kein Geschäftsgeheimnis oder strategisch wichtige Informationen offengelegt, aber Nolan konnte die Puzzleteile einfach zusammensetzen. Er telefonierte mit den betreffenden Personen, besuchte Konferenzen, auf denen sie sprachen und fragte sie nach den Events ganz gezielt danach, warum sie nicht länger über dieses eine Spezialgebiet schrieben und sprachen. Letztendlich konnte Nolan - und sein Auftraggeber - aus den gewonnenen Informationen ziemlich gut extrahieren, wann der Konkurrent mit seiner Technologie auf den Markt kommen würde. Nach Nolans Aussage habe das seinem Kunden gut zwei Jahre Vorsprung gegenüber den Plänen der Konkurrenz verschafft.

IT-Sicherheit: Menschliche Datenschutz-Fails

Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.

Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).

USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.

Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".

Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Grauzonen: Andere Länder, andere Sitten. In manchen Gegenden der Welt sind Abhör-Equipment, Bestechungen, Diebstahl und Erpressung an der Tagesordnung. Bill Boni, Security-VP bei T-Mobile USA, hat bei einem Finanzinstitut in Südamerika Dinge erlebt, die in unseren Breitengraden unvorstellbar wären. Nachdem die Entscheider der Bank den Verdacht hatten, dass sie bespitzelt werden, engagierten sie kurzerhand Security-Berater, die die Geschäftsräume von Wanzen befreien sollten. Als das Datenleck so nicht geschlossen werden konnte, wurde ein neues Team beauftragt. "Dabei wurden 27 verschiedene Abhörgeräte entdeckt", so Boni. "Die gesamte Vorstandsebene wurde abgehört und heimlich gefilmt. Das erste Team, dass die Wanzen finden sollte, hat diese wahrscheinlich erst installiert."

Manchmal wird Industriespionage auch von Regierungen oder Regierungsinstitutionen gefördert oder gar in Auftrag gegeben. Dahinter kann beispielsweise die Motivation stecken, lokalen Unternehmen gegenüber der Konkurrenz aus anderen Ländern einen Vorteil verschaffen zu wollen. Deswegen gibt es auch kein einheitliches Set von Guidelines zum Schutz von Intellectual Property, das überall auf der Welt funktioniert. Es ist der Job des CSOs, die Risiken für die Länder, in denen sein Unternehmen Geschäfte macht, abzuschätzen und entsprechend zu handeln. Dazu gehören auch die immer gleichen Prozesse wie der Hinweis auf ausreichend geschützte Endgeräte. Dabei ist es wichtig zu wissen, dass einige Länder weitergehende Vorsichtsmaßnahmen erfordern, als andere. Vorstände, die nach Pakistan reisen, sollten beispielsweise ein Pseudonym für Buchungen nutzen, ihr Hotelzimmer auf Wanzen untersuchen lassen oder sogar eigene Security-Leute zum Schutz wichtiger Dokumente oder Informationen anheuern.

Internet of Things: Eine der verwundbarsten Umgebungen überhaupt stellt die Healthcare-Industrie dar. In vielen Krankenhäusern können an einem einzelnen Bett inzwischen durchschnittlich bis zu 15 Internet of Things (IoT)-fähige, medizinische Geräte hängen - wovon etwa die Hälfte über das Internet kommuniziert. Und kriminelle Hacker haben längst begriffen, dass geschützte Patienteninformationen sehr viel wertvoller sind, als "gewöhnliche", persönliche Daten.

Diese IoT-Geräte schaffen ein neues Einfallstor für Hacker im Netzwerk der Kliniken. Sollten Cyberkriminelle sich Zugriff auf medizinische Geräte verschaffen, die lebenswichtige Funktionen überwachen, könnte das Leben von Patienten auf dem Spiel stehen.

Die meisten Experten sind sich inzwischen einig, dass die Hersteller der IoT-Devices diese viel zu schnell auf den Markt geworfen haben - ohne darüber nachzudenken, wie man diese gegen Angriffe von außen absichert. Nur einige der Probleme: Die Prozessoren in den Geräten sind in der Regel zu schwach für Intrusion-Detection-Systeme und nur wenige Geräte sind überhaupt updatefähig. Inzwischen arbeiten viele Hersteller auch an automatischen Update-Prozessen, da die meisten Verbraucher eben so wenig Wert auf Updates legen.

In der Praxis würden solche lebensbedrohlichen Hacks meist daran scheitern, dass die Angreifer (geografisch) nicht nah genug am Geschehen sind, um das schwächste Glied in der Kette - den Endpunkt - anzugreifen. Dennoch sollten Unternehmen und Institutionen alles daran setzen, eine ganzheitliche IT Sicherheitsstrategie zu entwickeln, um alle potenziellen Angriffspunkte abzusichern.

Netzwerk-Nomadentum: R.P. Eddy, CEO beim Beratungsunternehmen Ergo, empfiehlt seinen Kunden grundsätzlich, eine Auditierung ihres geistigen Eigentums vornehmen zu lassen: "Nur so können Sie sehen, wie gut geschützt Ihr geistiges Eigentum wirklich ist. Wenn ein Leak die Daten nach China, Russland oder zu einem Konkurrenten hat fließen lassen, kann das erhebliche Auswirkungen haben - etwa bei Übernahmen und Fusionen." Bis zum Deal zwischen Verizon und Yahoo nahm kaum ein Kunde dieses Angebot in Anspruch. Nachdem die Kompromittierung von 500 Millionen User Accounts der Reputation von Yahoo nachhaltigen Schaden zugefügt hatte, musste der Übernahme-Preis "restrukturiert" werden. Die Angreifer hatten sich über Monate unbemerkt im Netzwerk von Yahoo ausgetobt.

Die größten Cyberangriffe auf Unternehmen

Die Top 15 Hacker-Angriffe auf Unternehmen
Unternehmen weltweit rücken seit Jahren in den Fokus von Hackern und Cyberkriminellen. Identitäts- und Datendiebstahl stehen bei den Anhängern der Computerkriminalität besonders hoch im Kurs - kein Wunder, dass Cyber-Risk-Versicherungen immer mehr in Mode kommen. Wir zeigen Ihnen 15 der größten Hacking-Attacken auf Unternehmen der letzten Jahre.

Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.

Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.

Cicis
Auch die US-Pizzakette Cicis musste Mitte 2016 einen Hackerangriff eingestehen. Wie das Unternehmen mitteilte, wurden die Kassensysteme von 130 Filialen kompromittiert. Der Diebstahl von Kreditkartendaten ist sehr wahrscheinlich. Wie im Fall von Wendy's und Target gelang es Hackern auch bei Cicis Malware in das Point-of-Sale-Kassensystem einzuschleusen. Erste Angriffe traten bereits im Jahr 2015 auf, im März 2016 verstärkten sich die Einzelattacken zu einer groß angelegten Offensive. Nach eigenen Angaben hat Cicis die Malware inzwischen beseitigt.

Wendy's
Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden – zunächst war von weniger als 300 betroffenen Filialen die Rede. Wie sich dann herausstellte, waren die Malware-Attacken schon seit Herbst 2015 im Gange. Zudem ließ die Burger-Kette verlauten, dass wohl doch bis zu 1000 Filialen betroffen seien. Die Kreditkarten-Daten der Kunden wurden bei den Malware-Angriffen offenbar ebenfalls gestohlen. Wie im Fall von The Home Depot hatten sich die Hacker per Remote Access Zugang zum Kassensystem der Fast-Food-Kette verschafft.

Heartland Payment Systems
Noch heute gilt der 2008 erfolgte Cyberangriff auf das US-Unternehmen Heartland Payment Systems als einer der größten Hacks aller Zeiten wenn es um Kreditkartenbetrug geht. Heartland ist einer der weltweit größten Anbieter für elektronische Zahlungsabwicklung. Im Zuge des Hacks wurden rund 130.000.000 Kreditkarten-Informationen gestohlen. Der Schaden für Heartland belief sich auf mehr als 110 Millionen Dollar, die zum größten Teil für außergerichtliche Vergleiche mit Kreditkartenunternehmen aufgewendet werden mussten. Verantwortlich für den Hack war eine Gruppe von Cyberkriminellen. Deren Kopf, ein gewisser Albert Gonzalez, wurde im März 2010 wegen seiner maßgeblichen Rolle im Heartland-Hack zu einer Haftstrafe von 20 Jahren verurteilt. Heartland bietet seinen Kunden seit 2014 ein besonderes Security-Paket - inklusive "breach warranty".

Sony Playstation Network
Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr. Der Grund: ein Cyberangriff auf das digitale Serviceportal Playstation Network (PSN). Neben einer Ausfallzeit des PSN von knapp vier Wochen (!) wurden bei der Cyberattacke jedoch auch die Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Millionen PSN-Abonennten gestohlen. Sony informierte seine Nutzer erst rund sechs Tage über den Hack - und musste sich dafür harsche Kritik gefallen lassen. Die Kosten des PSN-Hacks beliefen sich auf circa 170 Millionen Dollar. Die Verantwortlichen wurden bislang nicht identifiziert.

Livingsocial.com
Die Online-Plattform Livinggsocial.com (inhaltlich vergleichbar mit Groupon) wurde im April 2013 Opfer eines Hacker-Angriffs. Dabei wurden die Passwörter, E-Mail-Adressen und persönlichen Informationen von circa 50 Millionen Nutzern der E-Commerce-Website gestohlen. Glücklicherweise waren die Finanzdaten von Kunden und Partnern in einer separaten Datenbank gespeichert. Die Verursacher des Security-Vorfalls wurden nicht identifiziert.

Adobe Systems
Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen - darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. Die Hacker die hinter dem Angriff standen, wurden nicht gefasst.

Target Corporation
Die Target Corporation gehört zu den größten Einzelhandels-Unternehmen der USA. Ende des Jahres 2013 musste Target einen Cyberangriff eingestehen, bei dem rund 70 Millionen Datensätze mit persönlichen Informationen der Kundschaft gestohlen wurden. Weitaus schwerer wog jedoch, dass unter diesen auch 40 Millionen Datensätze waren, die Kreditkarteninformationen und sogar die zugehörigen PIN-Codes enthielten. Für außergerichtliche Einigungen mit betroffenen Kunden musste Target rund zehn Millionen Dollar investieren, der damalige CEO Gregg Steinhafel musste ein halbes Jahr nach dem Hack seinen Hut nehmen.

Snapchat
Ein kleiner Fehler führte Ende Dezember 2013 dazu, dass Hacker die Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern veröffentlicht haben. Snapchat selbst geriet darauf ins Kritikfeuer von Nutzern und Sicherheitsforschern, denn wie so oft war die Ursache für die Veröffentlichung der Daten ein Mangel an Sicherheitsvorkehrungen. Die von Hackern verursachten Probleme sind jedoch meist weniger schlimm als der Schaden, der nach der Veröffentlichung folgt. Auch wenn man seinen Nutzernamen oder seine Telefonnummer nicht als großes Geheimnis ansieht – ein motivierter Angreifer wie ein Stalker oder ein Identitäts-Dieb könnten mit diesen Daten Übles anrichten. Dieser Hack zeigt wiederum, dass alle Daten wichtig sind - vor allem wenn sie den Nutzern gehören. Man kann mit Sicherheit davon ausgehen, dass die Entwickler von Snapchat diesen Sicherheitsfehler gerne vor den Hackern gefunden hätten.

Ebay Inc.
Im Mai 2014 wurde Ebay das Ziel von Cyberkriminellen. Zwar wurden bei der Attacke keine Zahlungsinformationen entwendet - dafür aber E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen registrierten Kunden. Die Hacker erlangten scheinbar über von Ebay-Mitarbeitern gestohlene Logins Zugriff auf die Datenbanken des Unternehmens. Die Verantwortlichen wurden nicht identifiziert.

J.P. Morgan Chase
Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Rund 83 Millionen Datensätze mit Namen, Adressen und Telefonnummern von Kunden fielen den Hackern in die Hände. Zugang erlangten die Kriminellen offensichtlich über gestohlene Login-Daten eines Mitarbeiters. Allerdings musste sich J.P. Morgan den Vorwurf gefallen lassen, seine Systeme nicht ausreichend zu schützen. Inzwischen wurden in den USA und Israel vier Personen festgenommen, die mutmaßlich an diesem Hack beteiligt waren.

The Home Depot
Die US-Baumarktkette The Home Depot wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot-Geschäften entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Millionen Dollar beziffert.

Anthem Inc.
Anthem gehört zu den größten Krankenversicherern der USA. Im Februar 2015 gelang es Cyberkriminellen, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Die Datensätze enthielten Sozialversicherungsnummern, E-Mail-Adressen und Anschriften. Darüber hinaus wurden auch Gehaltsinformationen von Kunden und Angestellten entwendet. Immerhin: Medizinische Daten sollen nicht betroffen gewesen sein. Verschiedenen Security-Experten zufolge führt die Spur des Hacks nach China.

Ashleymadison.com
Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe namens Impact Team im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Der Angriff bewies, dass Ashley Madison nicht – wie eigentlich versprochen – persönliche Informationen der Nutzer gegen eine Gebühr löschte. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter 15.000 Regierungs- und Militäradressen von Nutzern. Auch Teile des Seitenquellcodes und interne E-Mails der Betreiber lagen dadurch offen. Aufgrund der intimen Nutzerdaten und der geheimnisvollen Natur von Ashley Madison ist dieser Hackerangriff besonders heikel. Dass die Betreiber persönliche Daten auch auf Wunsch nicht vernichtet haben, zeigt ein Problem von Unternehmen, die personenbezogene Daten auf verschiedenen Systemen verarbeiten. Aber auch solche Unternehmen müssen Nutzerinformationen gegen Gefahren schützen – ganz gleich, ob die Gefahr von externen Hackern, böswilligen Insidern oder zufälligen Datenverlusten ausgeht. Ein Ashleymadison-User hat inzwischen vor einem Gericht in Los Angeles Klage gegen Avid Life Media eingereicht. Der Vorwurf: fahrlässiger Umgang mit hochsensiblen Daten. Ein Antrag auf Sammelklage ist ebenfalls bereits eingegangen. Sollte das Gericht diesem folgen, könnten ALM Schadenersatzforderungen in Milliardenhöhe ins Haus stehen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.